Forholdet mellom GDPR artikkel 6 nr. 1 og 4: Datatilsynets tilnærming er hensiktsmessig
I Lov&Data nr. 156 4/2023 stiller Ole Martin Moe og Hanne Pernille Gulbrandsen fra Deloitte spørsmål om Datatilsynet tar feil i sin vurdering av forholdet mellom GDPR artikkel 6 nr. 1 og nr. 4. Til tross for at jeg er enig i mye av det de skriver, ønsker jeg å understreke at det finnes flere gode grunner for Datatilsynets tolkning i vedtak 20/01626 og at tilsynets tilnærming virker mest hensiktsmessig – både for de registrerte og for de behandlingsansvarlige.
Krever behandling for nytt (forenlig) formål, et nytt behandlingsgrunnlag?
Enhver behandling av personopplysninger skal gjøres for spesifikke, uttrykkelige angitte og berettigede formål. Personopplysninger skal ikke behandles på en måte som er uforenlig med det opprinnelige formålet. Det er derfor sentralt å avklare når et formål er forenlig med et annet. En ikke uttømmende oversikt over momentene som skal hensyntas i vurderingen fremgår av GDPR artikkel 6 nr. 4 bokstav a til e.
Et viktig spørsmål er om den nye behandlingen – nå utført for et nytt (forenelig) formål – krever et nytt behandlingsgrunnlag. Alternativt, om det er «fritt frem» så lenge den etterfølgende behandlingen er forenlig i henhold til GDPR artikkel 6 nr. 4 (og da under forutsetning av at behandlingen for det opprinnelige formålet hadde behandlingsgrunnlag). Sistnevnte oppfatning er trolig mest utbredt blant personvernjurister.
Datatilsynet la imidlertid i vedtak 20/01626 til grunn at det er både krav om forenlighet (etter GDPR artikkel 6 nr. 4) og et krav om nytt behandlingsgrunnlag etter GDPR artikkel 6 nr. 1.
«For behandling av personopplysninger for et annet formål enn det som personopplysningene ble samlet inn for, er det to kumulative krav i personvernforordningen. For det første kreves det, som ved all behandling av personopplysninger, at behandlingen har et rettslig grunnlag i artikkel 6 nr. 1 for å være lovlig. I tillegg kreves det at det nye formålet med behandlingen av personopplysninger er forenelig med formålet personopplysningene ble samlet inn for, jf. artikkel 6 nr. 4. Det er et unntak fra dette vilkåret dersom den nye behandlingen bygger på den registrertes samtykke eller har hjemmel i lov, men det er klart at dette unntaket ikke kommer til anvendelse i denne saken»
I vedtaket konkluderte de med at NIFs (videre)bruk manglet behandlingsgrunnlag, og at det derfor ikke var nødvendig å ta stilling til om formålene var forenelig etter GDPR artikkel 6 nr. 4.
I artikkelen til Deloitte drøftes det om tilsynets konklusjon er riktig. Det er gode grunner til å reise denne diskusjonen. Som de henviser til, legger fortalepunkt 50 nemlig til grunn den motsatte konklusjon:
«Behandling av personopplysninger for andre formål enn de formål personopplysningene opprinnelig ble samlet inn for, bør bare være tillatt dersom behandlingen er forenlig med formålene som personopplysningene opprinnelig ble samlet inn for. I et slikt tilfelle kreves det ikke et annet rettslig grunnlag enn det som ligger til grunn for innsamlingen av personopplysninger».
Juridisk teori legger også til grunn at det ikke er påkrevd med et nytt behandlingsgrunnlag.(1)Åste Marie Bergseng Skullerud mfl., Personvernforordningen. Ajourført lovkommentar til artikkel 6(4) GDPR, Juridika EU-domstolen har blant annet henvist til fortalepunkt 50 i avgjørelse C-77/21, og de har ikke eksplisitt oppstilt et krav om nytt behandlingsgrunnlag, da i tillegg til at formålene må være forenelig.
Allikevel mener jeg at tilsynets konklusjon virker logisk og hensiktsmessig, både for de registrerte og for de behandlingsansvarlige.
For det første samsvarer tilsynets konklusjon best med GDPRs ordlyd. GDPR artikkel 6 nr. 1 slår fast at enhver behandling skal ha behandlingsgrunnlag. Til tross for at det er en åpenbar kobling mellom formål og hva som utgjør en behandling,(2)Åste Marie Bergseng Skullerud mfl., Personvernforordningen. Ajourført lovkommentar til GDPR artikkel 4 Juridika og Ot.prp.nr.92 (1998-1999) side 102. er viderebehandling for et nytt (men forenlig) formål en ny behandling av personopplysninger. Dette underbygges blant annet av ordlyden i artikkel 5 nr. 1 (som skiller mellom formåls- og lovlighetsprinsippet), definisjonen i GDPR artikkel 4 nr. 2 og C-77/21.(3)Se blant annet avsnitt 32.
Ordlyden i GDPR artikkel 6 nr. 1 trekker følgelig i retning av at det er påkrevd med et eget behandlingsgrunnlag for den nye behandlingen. Alternativet er å tolke ordlyden innskrenkende, da med hjemmel i fortalepunkt 50 mv.
For det andre fremstår konklusjonen mest hensiktsmessig fra både ståstedet til de registrerte og for de behandlingsansvarlige. Én av årsakene er at noen av de registrertes rettigheter er tilknyttet ulike behandlingsgrunnlag. Dersom det legges til grunn at det ikke er nødvendig med et nytt behandlingsgrunnlag, kan dette gi underlige utfall. Dette kan illustreres med et eksempel:
Personopplysningene X samles inn for å levere en tjeneste (behandlingsgrunnlag: GDPR artikkel 6 nr. 1 bokstav b). Til tross for at det ikke var tiltenkt på tidspunktet for innsamlingen, ønsker den behandlingsansvarlige å viderebehandle personopplysningene X for å forbedre tjenesten. Det forutsettes i det videre at det nye formålet er forenlig med det opprinnelige formålet.
Dersom den behandlingsansvarlige hadde hatt det nye formålet i tankene fra start, ville den behandlingsansvarlige benyttet GDPR artikkel 6 nr. 1 bokstav f som behandlingsgrunnlag. Imidlertid, dersom vi forutsetter at det ikke er påkrevd med et «nytt» behandlingsgrunnlag (og at det er tilstrekkelig med forenlighetsvurderingen), vil altså ikke den behandlingsansvarlige basere seg på GDPR artikkel 6 nr. 1 bokstav f.
Den registrerte har derfor andre rettigheter enn hva vedkommende ville hatt dersom behandlingen var tiltenkt allerede fra start. Den registrerte vil da ikke kunne protestere mot behandlingen, jf. GDPR artikkel 21 (en mulighet vedkommende hadde hatt dersom behandlingen opprinnelig var opprinnelig tiltenkt, og derfor hadde sitt «eget» behandlingsgrunnlag).
Eksempelet illustrerer hvordan den registrerte kan ende opp med å bli plassert i en dårligere situasjon ved viderebehandling enn hva vedkommende ville vært dersom behandlingen var tiltenkt fra start.
Konklusjonen vil også kunne få underlige utslag for den behandlingsansvarlige. Vil dette medføre at den registrerte har rettigheter tilknyttet det opprinnelige behandlingsgrunnlaget, til tross for at det egentlig ikke passer på viderebehandlingen – for eksempel dataportabilitet? Dette var neppe intensjonen da fortalepunkt 50 ble skrevet.
Tilsynets tilnærming begrenser trolig ikke muligheten til å behandle personopplysninger
Noen jurister og virksomheter har nok reagert kritisk på Datatilsynets tolkning av GDPR artikkel 6 nr. 4, ettersom de opplever at tolkningen begrenser handlingsrommet til å behandle personopplysninger – og da at den medfører en høyere terskel for å behandle personopplysninger for nye forenelige formål. Reaksjonen fremstår umiddelbart som logisk, ettersom tilsynet tross alt stiller to vilkår istedenfor kun ett. En slik tolkning ser også advokatene fra Deloitte ut til å legge til grunn i sin artikkel.
Et slikt inntrykk bør nyanseres. Tilsynets tilnærming begrenser neppe virksomheters anledning til å behandle personopplysninger i praksis. Dersom den behandlingsansvarlige konkluderer med at viderebehandlingen av personopplysninger er forenelig med det opprinnelige formålet (da i henhold til GDPR artikkel 6 nr. 4), vil det trolig være en forholdsvis enkel sak å identifisere et behandlingsgrunnlag i GDPR artikkel 6 nr. 1. Vurderingen etter GDPR artikkel 6 nr. 4 er ikke begrenset til å kun angå «koblingen» og nærheten mellom det opprinnelige og det nye formålet, men består i stor grad av en interesseavveining.
Det er altså vanskelig å tenke seg en situasjon hvor en behandlingsansvarlig har grunnlag i GDPR artikkel 6 nr. 4, men sliter med å legitimere behandlingen etter GDPR artikkel 6 nr. 1. Terskelen for viderebehandling bør i sin natur anses til å ligge høyere enn en opprinnelig tiltenkt behandling.
Datatilsynets tilnærming virker altså hensiktsmessig og logisk, uavhengig av om den ender opp med å bli stående som gjeldende rett.
Noter
- Åste Marie Bergseng Skullerud mfl., Personvernforordningen. Ajourført lovkommentar til artikkel 6(4) GDPR, Juridika
- Åste Marie Bergseng Skullerud mfl., Personvernforordningen. Ajourført lovkommentar til GDPR artikkel 4 Juridika og Ot.prp.nr.92 (1998-1999) side 102.
- Se blant annet avsnitt 32.