Har behandlingsgrunnlaget betydning for hvorvidt en registrert skal få gjennomslag for retten til å protestere?
Er det en forskjell på vurderingen av om det foreligger «tvingende berettigede grunner» i GDPR artikkel 21 ut ifra om behandlingsgrunnlaget er GDPR artikkel 6(1) e) eller GDPR artikkel 6(1) f)? I denne artikkelen argumenterer vi for at det er en presumsjon for at det foreligger «tvingende berettigede grunner» når behandlingsgrunnlaget er GDPR artikkel 6(1) e).
Innledning
Retten til å protestere er en av de vanskeligste rettighetene for behandlingsansvarlig å ta stilling til. Dette fordi det er en rettighet som den registrerte kan påberope seg og få gjennomslag for selv om behandlingen er lovlig. Resultatet av at den registrerte får gjennomslag for protesten vil i utgangspunktet være at den behandlingsansvarlige må slette den registrertes personopplysninger, altså stoppe behandlingen av personopplysningene til den registrerte som har protestert.
Sagt på en annen måte, den behandlingsansvarlig kan ha et gyldig behandlingsgrunnlag, ha iverksatt alle nødvendige risikoreduserende tiltak etter GDPR artikkel 32 og ivaretatt alle krav til personvern, og likevel må den behandlingsansvarlige slette den registrertes personopplysninger hvis protestesten har blitt tatt til følge. Det er derfor viktig å forstå når en protest skal tas til følge, og når den ikke kan lede frem.
Dette gjelder særlig for behandlingsansvarlige som er offentlige virksomheter og som bruker GDPR artikkel 6(1) e) som behandlingsgrunnlag. Disse behandlingsansvarlige kan stå i en posisjon hvor de er pålagt å utføre en oppgave i allmennhetens interesse i henhold til nasjonal rett,(1)Også kalt «supplerende behandlingsgrunnlag» men likevel vil måtte ta stilling til en protest.
I denne artikkelen forsøker vi å svare på spørsmålet om vurderingen det foreligger «tvingende berettigede grunner» blir forskjellig etter hvilket behandlingsgrunnlag behandlingen baserer seg på.
Problemstillingen
Den registrerte har en rett til å protestere av grunner knyttet til vedkommendes særlige situasjon etter GDPR artikkel 21(1). At den registrerte er i en «særlig situasjon» er med andre ord en forutsetning for retten til å protestere.
I denne artikkelen forsøker vi å svare på spørsmålet om vurderingen det foreligger «tvingende berettigede grunner» blir forskjellig etter hvilket behandlingsgrunnlag behandlingen baserer seg på.
Retten til å protestere forutsetter også at behandlingsgrunnlaget er GDPR artikkel 6(1) e) «en oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet» eller GDPR artikkel 6(1) f) «berettiget interesse». Hvis en behandlingsansvarlig skal avvise en protest, må den vise at det foreligger «tvingende berettigede grunner for behandlingen som går foran den registrertes interesser».(2)GDPR artikkel 21(1)
Når behandlingsgrunnlaget er berettiget interesse,(3)GDPR artikkel 6(1) f) er det forholdsvis enkelt å forstå hvordan vurderingen av om det foreligger «tvingende berettigede grunner» skal gjøres. Behandlingsgrunnlaget berettigede interesser er allerede en interesseavveining, og det vil foreligge «tvingende berettigede grunner» hvis interessen til den behandlingsansvarlige står spesielt sterkt sett opp mot den registrertes særlige situasjon.
Vurderingen av hva «tvingende berettigede grunner» er når behandlingsgrunnlaget er «en oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet»,(4)GDPR artikkel 6(1) e) er mer uklart.
GDPR artikkel 6(1) e) er det behandlingsgrunnlaget offentlige organer som hovedregel bruker for sine behandlinger av personopplysninger når de er pålagt oppgaver med hjemmel i lov. Det som skiller dette behandlingsgrunnlaget fra GDPR artikkel 6(1) c) «rettslig forpliktelse», er at det offentlige organet er gitt forholdsvis stor frihet i å bestemme hvordan oppgaven de er pålagt skal løses. Den behandlingsansvarlige kan med andre ord være i en situasjon hvor den ikke kan velge å ikke gjøre den oppgaven den er pålagt, men kan bestemme hvordan den skal løses. Den behandlingsansvarlige kan for eksempel bestemme hvilke midler eller verktøy den skal bruke for å løse den lovpålagte oppgaven.
Hvis en registrer har en særlig situasjon som tilsier at en behandling bør stoppe, vil den behandlingsansvarlige som hovedregel måtte stoppe behandlingen.(5)GDPR artikkel 21(1) Det betyr at den behandlingsansvarlige vil kunne komme i en situasjon hvor den på en og samme tid både må løse den lovpålagte oppgaven, og samtidig ikke behandle personopplysningene til den registrerte som har protestert.
Den behandlingsansvarlige trenger imidlertid ikke å gi den registrerte gjennomslag for protesten dersom det foreligger «tvingende berettigede grunner»(6)GDPR artikkel 21(1).
Problemstilling: Hvordan skal en behandlingsansvarlig vurdere om det foreligger «tvingende berettigede grunner» og om en protest dermed ikke skal tas til følge når behandlingsgrunnlaget er GDPR artikkel 6(1) e)?
Hensynet bak retten til å protestere
I henhold til GDPR artikkel 21(1), har den registrerte rett til å protestere mot behandling av personopplysninger om vedkommende som har grunnlag i GDPR artikkel 6(1) e) eller f) av grunner knyttet til vedkommendes særlige situasjon. Den behandlingsansvarlige skal ikke lenger behandle personopplysninger om den som har protestert, med mindre det foreligger «tvingende berettigede grunner» for å fortsette behandlingen av personopplysningene.
Den registrerte har bare rett til å protestere når personopplysninger blir behandlet med grunnlag i GDPR artikkel 6(1) e) eller f). Det vil si at den behandlingsansvarlige anser behandlingen av personopplysninger som nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,(7)GDPR artikkel 6(1) e) eller av hensyn til den behandlingsansvarliges eller en tredjeparts berettigede interesser.(8)GDPR artikkel 6(1) f)
Med andre ord er det gjennomført en interessevurdering i forkant av behandlingen, der den behandlingsansvarlige har kommet frem til at de interessene som begrunner behandlingen, det vil si allmennhetens interesse, offentlige interesser eller andre berettigede interesser, veier tyngre enn de ulempene som den registrerte generelt må antas å ha av behandlingen.
Interessevurderingen som gjøres for behandlinger med grunnlag i GDPR artikkel 6(1) e) og f) kan begrunne hvorfor den registrerte ikke har rett til å protestere mot behandlinger som har grunnlag i et av de øvrige behandlingsgrunnlagene i GDPR artikkel 6.
Dersom den registrerte har samtykket til behandling av personopplysninger etter GDPR artikkel 6(1) a), kan hen til enhver tid trekke tilbake samtykket. Behandlingen av personopplysninger skal da stoppe uten at den registrerte må begrunne dette i sin «særlige situasjon».
Dersom det er nødvendig å behandle personopplysninger for å oppfylle en avtale som den registrerte er part i etter GDPR artikkel 6(1) b), må det antas at det ikke er konflikt mellom den registrerte og den behandlingsansvarlige sine interesser i å gjennomføre avtalen.
Videre må det legges til grunn at lovgiver har gjort en interessevurdering av hensynene for og imot en behandling når behandlingsgrunnlaget er nødvendig for å oppfylle en rettslig plikt etter GDPR artikkel 6(1) c).
Det må også antas at den behandlingsansvarlige har «tvingende berettigede grunner» for å gjennomføre en behandling som er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser det er nødvendig etter GDPR artikkel 6(1) d). Det vil dermed ikke være hensiktsmessig med en rett til å protestere i disse tilfellene.
I tillegg til at GDPR artikkel 6(1) e) og f) krever at den behandlingsansvarlige har vurdert at det er interesseovervekt for å gjennomføre behandlingen, kan også retten til å protestere begrunnes i behandlingsgrunnlagenes karakter. I motsetning til de andre behandlingsgrunnlagene, som gjerne gir grunnlag for å behandle personopplysninger om en bestemt registrert, gir GDPR artikkel 6(1) e) og f) typisk behandlingsgrunnlag for behandling av personopplysningene til en større gruppe av mennesker. Selv om allmennhetens interesser, offentlige interesser eller andre berettigede interesser gir lovlig grunnlag for å behandle personopplysninger, kan det være særlige forhold ved enkelte registrerte som veier tyngre enn interessene for behandlingen. Denne forståelsen støttes også av fortalen til GDPR punkt 69:
«Dersom personopplysningene kan behandles på lovlig vis fordi behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, eller av hensyn til en behandlingsansvarligs eller en tredjeparts berettigede interesser, bør en registrert imidlertid ha rett til å protestere mot enhver behandling av personopplysninger som gjelder vedkommendes særlige situasjon. Det bør være opp til behandlingsansvarlige å påvise at vedkommendes tvingende berettigede interesse går foran den registrertes interesser eller grunnleggende rettigheter og friheter.»
Interesseavveining i GDPR artikkel 21(1)
For å svare på hvorvidt det foreligger en «tvingende berettiget grunn»,(9)GDPR artikkel 21(1) må den behandlingsansvarlige foreta en interesseavveining. Dette er en konkret skjønnsmessig vurdering hvor den behandlingsansvarliges interesser i å fortsette behandlingen veies opp mot den registrerte som har protestert sin særlige situasjon og interesse i at behandlingen skal opphøre.
Det er den behandlingsansvarlige som har bevisbyrden i denne interesseavveiningen. Det vil si at det er den behandlingsansvarlige som må godtgjøre at det faktisk foreligger en «tvingende berettiget grunn» slik at protesten kan avvises.(10)Dette forutsetter at den registrerte har gjort den behandlingsansvarlige oppmerksom på sin «særlige situasjon», og at protesten ikke skjer på bakgrunn av generelle motforestillinger mot behandlingen.
For å kunne bruke berettiget interesse som behandlingsgrunnlag, må den behandlingsansvarlige allerede ha gjort en interesseavveining der resultatet av vurderingen ble at den behandlingsansvarliges interesser i å gjennomføre behandlingen veide tyngre enn personvernulempene for den registrerte.
Ordlyden «tvingende» i GDPR artikkel 21(1) «tvingende berettigede grunn», tilsier at det skal vesentlig mer til for at den behandlingsansvarlige skal kunne påberope seg dette unntaket, sammenlignet med interesseavveiningen for å fastslå at det foreligger en «berettiget interesse» i GDPR artikkel 6(1) f). For at noe skal være en berettiget interesse, holder det med noe mer enn en alminnelig interesseovervekt, mens det vil være strengere krav for at noe skal være en «tvingende berettigede grunn».(11)Denne forståelsen støttes også av Oxfords lovkommentar til artikkel 21 i GDPR, hvor Zanfir-Fortuna argumenterer for at «tvingende grunner» («compelling») betyr at de berettigede interessene må være «overwhelming» og overgå de registrertes interesser «in a strong, significant way»
Article 29 Working Partys «Guidelines on Automated Individual Decision-Making»(12)Dette er en veileder som EDPB har godkjent i sitt første møte 25. mai 2018støtter denne forståelsen:
«It is clear from the wording of Article 21 that the balancing test is different from that found in Article 6(1)(f). In other words, it is not sufficient for a controller to just demonstrate that their earlier legitimate interest analysis was correct. This balancing test requires the legitimate interest to becompelling, implying a higher threshold for overriding objections.»
Unntak fra retten til å protestere når behandlingen er vitenskapelige, historiske eller statistiske formål som skjer i allmennhetens interesse
Det er ingen ting i selve ordlyden i GDPR artikkel 21(1) som tilsier at det skal være en forskjellig standard for vurderingen av en protest skal tas til følge ut ifra om behandlingsgrunnlaget er GDPR artikkel 6(1) e) eller GDPR artikkel 6(1) f).
Imidlertid fremgår det av GDPR artikkel 21(6) at retten til å protestere på behandlinger hvor personopplysninger behandles for vitenskapelig eller historisk forskning, og statistiske formål faller bort når behandlingen er «nødvendig for å utføre en oppgave i allmennhetens interesse». GDPR inneholder med andre ord et unntak fra retten til å protestere for forskning og statistikk når dette gjøres i allmennhetens interesse.
Det taler for at en behandling som skjer i allmennhetens interesse etter GDPR artikkel 6(1) e), enklere også vil oppfylle kravet til «tvingende berettigede grunn» enn når behandlingsgrunnlaget er en alminnelig interesseavveining i GDPR artikkel 6(1) f).
En behandling som gagner samfunnet som helhet – hensynet til allmennhetens interesse
Hensynet til allmennhetens interesse ved en behandling av personopplysninger, er relevant for vurderingen av om det foreligger en «tvingende berettigede grunn». Dette fremgår blant annet av Article 29 Working Partys «Guidelines on Automated Individual Decision-Making». Veilederen slår fast at GDPR ikke inneholder en forklaring på hva som ligger i «tvingende berettigede grunner».
Imidlertid konstaterer veilederen at behandlinger av personopplysninger som kommer samfunnet til gode kan være et eksempel på at det foreligger «tvingende berettigede grunner»:
«It may be the case that, for example, the profiling is beneficial for society at large (or the wider community) and not just the business interests of the controller, such as profiling to predict the spread of contagiousdiseases.»
En behandling som er hjemlet i behandlingsgrunnlaget i GDPR artikkel 6(1) e), er en behandling som er «nødvendig for å utføre en oppgave i allmennhetens interesse». Hvis en slik behandling kommer samfunnet som helhet til gode, vil det i seg selv tale for at det foreligger en «tvingende berettigede grunn».
Presumsjon for at lovgiver har hensyntatt personvern
Krav i utredningsinstruksen
Det er flere forskjeller på en behandling som har hjemmel i nasjonal lovgivning, og en som er bruker berettigede interesser som behandlingsgrunnlag. I en demokratisk rettsstat som Norge, er det for det første satt føringer i utredningsinstruksen med veiledninger(13)Utredningsinstruksen (FOR-2016-02-19-184) punkt 1-2 for utredningene som ligger til grunn for lovgivningsprosessen. Utredningsinstruksen 2-1 inneholder seks spørsmål som alltid skal vurderes i forbindelse med en utredning. Det fremgår av kapittel 2 til veiledningen til utredningsinstruksen(14)Veileder til utredningsinstruksen – instruks om utredning av statlige tiltak, Direktoratet for Økonomistyring (DFØ), 2018 at personvern faller inn under spørsmål 3 om hvilke prinsipielle spørsmål som tiltakene reiser. Veilederen beskriver at «prinsippspørsmål kan for eksempel gjelde den enkeltes personvern og integritet».
I 2008 ble det utarbeidet et eget tillegg til veiledningen til utredningsinstruksen om hvordan utreder skulle vurdere personvernkonsekvenser som en del av lovgivnings- og utredningsprosessen. Det fremgår av denne veiledningen at hvor inngripende forskjellige tiltak og lovendringer vil være for personvernet særlig skal utredes.
Videre skal det tas hensyn til forholdsmessighet.(15)Vurdering av personvernkonsekvenser, Fornyings- og administrasjonsdepartementet, 2008 s. 15 Det vil si at de personopplysninger som behandles skal stå i forhold til formålet med behandlingen, og må være egnet til å oppfylle det. Dersom formålet kan oppfylles på andre måter som ikke innebærer å behandle personopplysninger, vil kravet til forholdsmessighet ikke være nådd. Selv om dette tillegget til veiledningen er flere år gammelt, er det også et uttrykk for den forpliktelsen som lovgiver har for å vurdere personvernkonsekvenser i lovgivningsprosessen.
Både utredningsinstruksen, veilederen til utredningsinstruksen og veilederen om personvernkonsekvenser inneholder krav om at personvernspørsmål skal utredes i forbindelse med lovgivningsarbeidet der det er relevant. Særlig veilederen om personvernkonsekvenser understreker flere steder at personvernvurderingen skal ta hensyn til den enkeltes rett til personvern.(16)Vurdering av personvernkonsekvenser, Fornyings- og administrasjonsdepartementet, 2008 s. 6, 9, 10, 11 og 12 Det betyr at lovgiver skal ha vurdert relevante personvernspørsmål da loven ble skrevet. Det taler for at det er enklere å anta at det foreligger «tvingende berettigede grunner» for en behandling som hjemlet i nasjonal lovgivning(17)GDPR 6(1) e) sammenlignet med en hjemlet i «berettigede interesser».(18)GDPR 6(1) f)
Demokratisk prosess
Når en behandling av personopplysninger har hjemmel i nasjonal lovgivning, har den videre vært gjenstand for en demokratisk prosess. I denne prosessen skal «berørte departementer involveres så tidlig som mulig i utredningsprosessen».(19)Utredningsinstruksen kapittel 3, punkt 3-1(1)
Videre fremgår det av utredningsinstruksen at «ansvarlig departement skal forelegge alle forslag til tiltak med vesentlige virkninger for berørte departementer»(20)Utredningsinstruksen kapittel 3, punkt 3-2(1).
Veiledningen til utredningsinstruksen kapittel 3 som gir veiledning om prosesskrav sier videre at «dersom tiltak som utredes vil medføre vesentlige virkninger for forholdet til personvern, skal saken forelegges Kommunal- og moderniseringsdepartementet».
Dette er tydelige krav som skal sikre at personvern særlig hensyntas i lovprosesser. Dette taler også for at personvernspørsmål er særlig hensyntatt i behandlinger som har hjemmel i lov.(21)GDPR artikkel 6(1) e)
Lovgivningsprosesser er i tillegg gjenstand for offentlige høringer. Det fremgår av utredningsinstruksen at «utredninger, forslag til lov og forskrift til tiltak med vesentlige virkninger skal normalt legges ut på høring».(22)Utredningsinstruksen kapittel 3, punkt 3-3(1)
Dette betyr at lovgiver vil få innspill fra det sivile samfunn, andre offentlige organer og private virksomheter om hvordan endringer i lovgivning vil påvirke dem på forskjellige måter. Det er grunn til å tro at personvernspørsmål vil være en del av slike høringer.
Konklusjonene i denne artikkelen betyr imidlertid ikke at behandlingsansvarlig kan legge til grunn at det alltid foreligger «tvingende berettigede grunner» når en registrert protesterer på en behandling som har hjemmel i GDPR artikkel 6(1) e).
Konklusjon
I denne artikkelen har vi undersøkt hvordan det spesifikke behandlingsgrunnlaget påvirker vurderingen av den registrertes rett til å protestere i GDPR artikkel 21(1). Vi har argumenterer for at det er en presumsjon for at det foreligger «tvingende berettigede grunner» når behandlingsgrunnlaget er GDPR artikkel 6(1) e) som omhandler oppgaver i allmennhetens interesse eller utøvelse av offentlig myndighet.
Sagt på en annen måte er det en presumsjon for at det finnes «tvingende berettigede grunner» som kan rettferdiggjøre fortsatt behandling av personopplysninger når behandlingsgrunnlaget er GDPR artikkel 6(1) e).
Denne konklusjonen er støttet av den viktige rollen offentlige organer spiller i å oppfylle oppgaver pålagt av lov, hvor de må balansere nødvendigheten av å utføre disse oppgavene mot individets rett til personvern. Dette i motsetning til behandlinger basert på «berettiget interesse» i 6(1) f).
Konklusjonene i denne artikkelen betyr imidlertid ikke at behandlingsansvarlig kan legge til grunn at det alltid foreligger «tvingende berettigede grunner» når en registrert protesterer på en behandling som har hjemmel i GDPR artikkel 6(1) e). En viktig forutsetning er at det supplerende behandlingsgrunnlaget gjelder en behandling som faktisk skjer i «allmennhetens interesse».
Den behandlingsansvarlige må fortsatt også dokumentere at den har gjort en konkret skjønnsmessig vurdering hvor den enkelte registrertes spesielle forhold veies opp mot interessene den behandlingsansvarlige har til å fortsette behandlingen. Dette er spesielt viktig når «tvingende berettigede grunner» påberopes og protesten avvises.
Noter
- Også kalt «supplerende behandlingsgrunnlag»
- GDPR artikkel 21(1)
- GDPR artikkel 6(1) f)
- GDPR artikkel 6(1) e)
- GDPR artikkel 21(1)
- GDPR artikkel 21(1)
- GDPR artikkel 6(1) e)
- GDPR artikkel 6(1) f)
- GDPR artikkel 21(1)
- Dette forutsetter at den registrerte har gjort den behandlingsansvarlige oppmerksom på sin «særlige situasjon», og at protesten ikke skjer på bakgrunn av generelle motforestillinger mot behandlingen.
- Denne forståelsen støttes også av Oxfords lovkommentar til artikkel 21 i GDPR, hvor Zanfir-Fortuna argumenterer for at «tvingende grunner» («compelling») betyr at de berettigede interessene må være «overwhelming» og overgå de registrertes interesser «in a strong, significant way»
- Dette er en veileder som EDPB har godkjent i sitt første møte 25. mai 2018
- Utredningsinstruksen (FOR-2016-02-19-184) punkt 1-2
- Veileder til utredningsinstruksen – instruks om utredning av statlige tiltak, Direktoratet for Økonomistyring (DFØ), 2018
- Vurdering av personvernkonsekvenser, Fornyings- og administrasjonsdepartementet, 2008 s. 15
- Vurdering av personvernkonsekvenser, Fornyings- og administrasjonsdepartementet, 2008 s. 6, 9, 10, 11 og 12
- GDPR 6(1) e)
- GDPR 6(1) f)
- Utredningsinstruksen kapittel 3, punkt 3-1(1)
- Utredningsinstruksen kapittel 3, punkt 3-2(1)
- GDPR artikkel 6(1) e)
- Utredningsinstruksen kapittel 3, punkt 3-3(1)