Gå til innhold

Lov&Data

3/2024: Artikler
30/09/2024

Innsyn i klasselister er i strid med GDPR

Av Ida Thorsrud, jurist og prosjektleder for den nasjonale Google-DPIAen (KS).

I 2009 fastslo Justis­departementet at klasselister er offentlige dokumenter, og at skoleeiere derfor må gi innsyn i dem etter ­offentleglova. I denne artikkelen argumenterer jeg for at den tolkningen er utdatert, at det å gi innsyn i klasselister ikke er nødvendig for å oppfylle formålene i ­offentleglova, og at dette dermed er et brudd på GDPR.

Illustrasjon: Colourbox.com

Innledning

Spørsmålet om offentleglova (2006) gir rett til innsyn i klasselister ble opprinnelig klargjort av Justisdepartementet i en tolkningsuttalelse fra 2009.(1)Tolkningsuttalelse av 26.06.2009 fra lovavdelingen i Justisdepartementet (200703385 EO MHG) Lovavdelingens uttalelse var basert på en tidligere tolkningsuttalelse fra 2004 som avklarte for­holdet mellom personopplysningsloven (2000) og offentlighetsloven (1970).(2)Tolkningsuttalelse av 16.07.2004 fra lovavdelingen i Justisdepartementet (2004/04600 ES KES/MHG/GMA)

Dette spørsmålet er for alle praktiske formål avklart. Alle skoleeiere som søker informasjon om dette, vil finne veiledningen til Datatilsynet som forklarer at klasselister er offentlige dokumenter,(3)Artikkelen «Klasselister er offentlege dokument» opprinnelig publisert på datatilsynet.no den 21.06.2018 og at man dermed plikter å gi innsyn i dem.

Problemstillingen kommer ­imidlertid fortsatt opp ved ujevne mellomrom. For eksempel søkte Stavanger arbeiderparti i 2023 innsyn i klasselister for barn i 1. og 2. klasse og brukte e-postadressene til foresatte for å sende dem politisk reklame.

Både reaksjonene i etterkant av denne saken(4)Artikkelen «Reagerer på Ap-stunt: Datatilsynet har mottatt flere klager» opprinnelig publisert på VG.no den 25.08.2023, og ikke minst det at rettstilstanden har endret seg ­vesentlig siden Justisdepartementet vurderte spørsmålet i 2009, gjør det aktuelt å se på denne problemstillingen på nytt. I denne artikkelen skal jeg derfor redegjøre for hvordan GDPR, som trådte i kraft i 2018, endrer rettstilstanden og hvordan dommen C-439/19 «­Penalty points» innebærer at innsyn i klasselister nå er i strid med GDPR.

I denne artikkelen skal jeg derfor redegjøre for hvordan GDPR, som trådte i kraft i 2018, endrer rettstilstanden og hvordan dommen C-439/19 «­Penalty points» innebærer at innsyn i klasselister nå er i strid med GDPR.

Personopplysningsloven (2000) § 6 og forholdet mellom offentlig innsyn og GDPR

Personopplysningsloven (2000) § 6 regulerte forholdet til offentlighetsloven (1970 og senere 2006). ­Bestemmelsen fastslo at «Loven her begrenser ikke innsynsrett etter offentlighetsloven (…)».

Justisdepartementet skilte i tolkningsuttalelsen fra 2004 mellom innsynsrett og vurderinger om meroffentlighet etter offentlighetsloven (1970).(5)Tolkningsuttalelse av 16.07.2004 fra lovavdelingen i Justisdepartementet (2004/04600 ES KES/MHG/GMA) Punkt 4.1 Innsynsretten betyr at innsyn gis, mens meroffentlighet betyr at innsyn etter en konkret vurdering kan gis.)

Om innsynsretten uttalte departementet:

«Når det foreligger innsynsrett etter offentlighetsloven, følger det av personopplysningsloven § 6 ­første ledd at det skal gis innsyn uten at det er nødvendig å vurdere om vilkårene for behandling av personopplysninger i personopplysningsloven og i personverndirek­tivet er oppfylt. I slike tilfeller skal det altså gis innsyn også om dette eventuelt vil være i strid med våre folkerettslige forpliktelser etter ­direktivet».

Departementet sa med andre ord at så lenge offentlighetsloven pålegger utlevering av personopplysninger (innsynsrett), gjaldt ikke personverndirektivet av 1995 eller personopplysningsloven av 2000. Dette er en konklusjon direkte med grunnlag i ordlyden i personopplysningsloven (2000) § 6(1) som dermed gjorde unntak fra personvernreglene.

Ifølge tolkningsuttalelsen fra 2009,(6)Tolkningsuttalelse av 26.06.2009 fra lovavdelingen i Justisdepartementet (200703385 EO MHG) ville innsyn i klasselister falle inn under innsynsretten i offentleglova (2006). Dette betyr at personopplysningsloven av 2000 ikke gjaldt når det ble gitt innsyn i klasselister. Departementet sa følgende i tolkningsuttalelsen:

«I den utstrekning det foreligger en innsynsrett etter offentlighets­loven følger det av personopplysningsloven § 6 første ledd at personopplysningsloven ikke kommer til anvendelse.»

Personopplysningsloven av 2018 inneholder ikke en tilsvarende ­bestemmelse, men GDPR regulerer til en viss grad forholdet mellom offentlig innsyn og personvern i ­artikkel 86:

«Personopplysninger i offentlige dokumenter (…), kan utleveres (…) i samsvar med unionsretten eller medlemsstatenes nasjonale rett (…) for å bringe allmennhetens rett til innsyn i offentlige dokumenter i samsvar med retten til vern av personopplysninger i henhold til denne forordning.»

I forarbeidene(7)Prop. 56 .S (2017-2018) punkt 15.2 side 105 til personopp­lysningsloven som inkorporerer GDPR i norsk rett, mente Justis­departementet at det ikke var nødvendig å videreføre personopplysningsloven (2000) § 6(1). Dette ­fordi GDPR artikkel 86 regulerer forholdet mellom personvern og innsyn etter nasjonale regler som offentleglova. Departementet ­uttalte i denne forbindelse:

«Ettersom artikkel 86 ikke stiller andre krav til utleveringen av personopplysningene enn at den er ‘i samsvar med’ reglene om allmennoffentlighet, går forordningen på dette punktet noe lenger i retning av offentlighet enn unntaks­regelen i dagens lov. Mens unntaksregelen i personopplysningsloven § 6 første ledd kun gjelder ved innsynsrett etter offentleglova, omfatter unntaket i forordningen artikkel 86 også de tilfellene der offentleglova bare gir adgang, og ikke plikt, til å gi innsyn, jf. offentleglova § 11 om meroffentlighet.»

Justisdepartementet omtaler GDPR artikkel 86 som en unntaksregel som går lenger enn personopplysningsloven (2000) § 6(1). Det er denne unntaksbestemmelsen som er sentral i departementets tolkningsuttalelse fra 2004 om forholdet mellom personopplysningsloven og offentlighetsloven (1970). Det er derfor nødvendig å undersøke om GDPR artikkel 86 er en unntaks­bestemmelse, og hvor langt unn­taket i så fall strekker seg.

GDPR artikkel 86 er ingen unntaksbestemmelse

Som det fremgår av GDPR artikkel 86 sin ordlyd, åpner bestemmelsen for at personopplysninger som fremgår av offisielle dokumenter kan deles i tråd med nasjonal lovgivning for å bringe offentlig innsyn i overenstemmelse med personvernrettighetene etter GDPR.(8)«Personal data in official documents (…) may be disclosed (…) in accordance with Union or Member State law (…) in order to reconcile public access to official documents with the right to the protection of personal data pursuant to this Regulation.» Bestemmelsen krever at hensynet til offentlig innsyn forenes med personvern når det gis innsyn i offentlige dokumenter som også inneholder personopplysninger.(9)Jf. GDPR artikkel 86 og ordlyden «in order to reconcile public access to official documents with the right to the protection of personal data pursuant to this Regulation»

Det er med andre ord ikke slik at GDPR artikkel 86 kun stiller krav til at utleveringen av personopplysningene er «i samsvar med» reglene om allmennoffentlighet slik departementet gir uttrykk for i forarbeidene nevnt ovenfor. Hensynet til personvern skal også tas i betraktning. Dette understrekes også i fortalepunkt 154 hvor det står at nasjonale innsynsregler skal forenes med retten til personvern. Verken GDPR artikkel 86 eller fortalen gir ytterligere informasjon om hvordan hensynene skal balanseres.

Det er verdt å merke seg at ordlyden i GDPR artikkel 86 ikke ­uttrykkelig sier at dette er en unntaksbestemmelse. Hvis vi sammenligner artikkel 86 med artikkel 85 som gjelder forholdet mellom ­behandling av personopplysninger og ytrings- og informasjonsfrihet, ser vi en helt klar forskjell i utformingen av artiklene. GDPR artikkel 85(2) regulerer tydelig i hvilke tilfeller det enkelte landet kan gjøre unntak fra GDPR i nasjonal rett for å ivareta ytrings- og informasjonsfriheten. Vi finner ingen tilsvarende formulering i GDPR artikkel 86. Det tyder på at artikkel 86 ikke ­åpner for unntak fra GDPR.

Ifølge Oxfords lovkommentar til GDPR, har artikkel 86 en deklarerende, snarere enn normativ, natur. GDPR artikkel 86 bekrefter at ­offentlig innsyn i forvaltningsdokumenter er et legitimt formål for å oppfylle en rettslig forpliktelse eller en oppgave i allmennhetens interesse. Ifølge lovkommentaren, støtter fortalepunkt 154 opp om denne tolkningen, idet det fremgår av dette fortalepunktet at «innsyn i offentlige dokumenter kan anses for å være i allmennhetens interesse».

GDPR artikkel 86 er med andre ord ikke en unntaksbestemmelse som lar offentleglova overstyre GDPR. Det er heller en bestemmelse som anerkjenner at medlemslandene kan lage nasjonale bestemmelser som regulerer innsyn. Det fremgår av GDPR artikkel 86 at ­slike innsynsregler må forene hensynet til offentlig innsyn med personvernrettighetene i GDPR. Det betyr at GDPR gjelder også ved offentlig innsyn så lenge det gis innsyn i personopplysninger.

GDPR gir ikke ytterligere veiledning om hvordan forene hensynet til offentlig innsyn med personvernhensyn. Imidlertid gir C-439/19 «Penalty points» fra EU-domstolen oss et utgangspunkt for en slik vurdering.

C-439/19 «Penalty points»

I C-439/19 «Penalty points», vurderte EU-domstolen om en lov i Latvia som hjemlet innsyn i personopplysninger om trafikkover­tredelser, var et brudd på GDPR. ­Loven gikk ut på at enhver som kjente til fødsels- og personnummeret til en person, kunne be om innsyn i hvor mange trafikkovertredelser vedkommende hadde i form av «penalty points».

Domstolen slo fast at all behandling av personopplysninger må være i tråd med GDPR, særlig prinsippene i GDPR artikkel 5 og krav til behandlingsgrunnlag i GDPR artikkel 6.(10)C-439/19, avsnitt 96 Spørsmålet i denne saken var om innsyn i personopplysninger om trafikkovertredelser var i lovlig etter GDPR, nærmere bestemt proporsjonalitetsprinsippet.(11)C-439/19, avsnitt 97

Domstolen konstaterte at selv om GDPR ikke inneholder noe generelt forbud mot publisering,(12)C-439/19, avsnitt 103 må offentliggjøringen av personopplysninger likevel være «nødvendig», jf. artikkel 6(1).(13) I denne saken vurderte EU-domstolen nødvendighetskravet i GDPR artikkel 6(1)e) (utøvelse av offentlig myndighet eller oppgave i allmennhetens interesse), men nødvendighetsvurderingen vil være den samme etter GDPR artikkel 6(1)c), jf. ordlyden «behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige» (forfatters understreking). Retten til personvern er ikke absolutt. Inngrep kan aksepteres hvis det er hjemlet i lov, ­respekterer grunnleggende rettig­heter(14)«the essence of the fundamental rights» og er proporsjonalt, jf. art 52(1) i EU-Charteret. Som en del av proporsjonalitetsvurderingen, uttalte domstolen at det må vurdertes om inngrepet er nødvendig og om det «genuinely meet objectives of general interest recognised by the EU or the need to protect the rights and freedoms of others». ­Videre må inngrepet være «strictly necessary» og reglene som hjemler inngrepet må sette klare og tydelige rammer for inngrepets omfang.(15)C-439/19, avsnitt 105

Domstolen la vekt på følgende momenter i proporsjonalitetsvurderingen:

«the seriousness of the inter­ference with the fundamental rights to respect for private life and protection of personal data caused by that disclosure» og «the purpose of achiving the ­objectives pursued» (16)C-439/19, avsnitt 106

Sagt på en annen måte var det relevant å legge vekt på hvor inngripende innsyn var for personvernet, og om innsyn oppfylte et legitimt formål.

Innsynet var hjemlet i latvisk lov, og EU-domstolen anerkjente trafikksikkerhet som et legitimt hensyn.(17)C-439/19, avsnitt 108 Innsyn måtte likevel ikke gå lenger enn det som var nødvendig for å oppfylle formålet med ­behandlingen av personopplys­ninger (her publisering for å ivareta trafikksikkerhet).(18)C-439/19, avsnitt 109 Hvis formålet kunne oppfylles på en mindre inngripende måte, var nødvendighetskravet ikke oppfylt.(19)C-439/19, avsnitt 110, jf. fortalepunkt 39 Domstolen påpekte at alternative tiltak kunne ha oppfylt formålet uten at personopplysninger måtte bli utlevert, men alternativer til innsyn hadde ikke blitt vurdert.(20)C-439/19, avsnitt 111 Domstolen la også vekt på at det å gi innsyn i noens trafikkovertredelser er relativt inngripende, og kom til nødvendighetskravet ikke var oppfylt.(21)C-439/19, avsnitt 113

Domstolen konkluderte at dette måtte gjelde selv ved innsyn i et ­offisielt dokument som nevnt i GDPR artikkel 86.(22)C-439/19, avsnitt 119 Domstolen uttalte i denne forbindelse at selv om innsyn i offentlige dokumenter er et hensyn som kan begrunne utlevering av personopplysninger,(23)Jf. fortalepunkt 154 må den typen innsyn likevel skje på en måte som ivaretar krav til personvern.

Er innsyn i klasselister nødvendig for å oppfylle formålene i offentleglova?

Innsyn i klasselister innebærer ­deling av personopplysninger om barn og deres foresatte, noe som er et inngrep i personvernet. Spørsmålet er om dette inngrepet er lovlig. Svaret på det avhenger ifølge C-439/19 av:

Om inngrepet er hjemlet i lov,

Om inngrepet respekterer «the essence of fundamental rights», og

Om inngrepet er proporsjonalt.

I vurderingen av hvorvidt inngrepet er proporsjonalt, la EU-domstolen i C-439/19 vekt på:

  1. Om inngrepet søker å oppnå en legitim interesse, og

  2. Om inngrepet er nødvendig for å oppfylle det hensynet. Hvis hensynet kunnet kunne oppfylles på en mindre personverninngripende måte, var ikke inngrepet proporsjonalt.

Innsyn i klasselister er hjemlet i lov, og kan sies å respektere «the essence of fundamental rights». Spørsmålet er om innsynet – eller utlevering av personopplysninger – er proporsjonalt.

I vurderingen av om inngrepet er proporsjonalt, er det på det rene at innsyn i klasselister søker å oppnå en legitim interesse eller et legitimt hensyn. Det fremgår tydelig av GDPR fortalepunkt 154 at «innsyn i offentlige dokumenter kan anses for å være i allmennhetens interesse». Spørsmålet er imidlertid om det er nødvendig å gi innsyn i klasselister for å oppnå formålet med offentleglova.

Innsyn i klasselister er hjemlet i lov, og kan sies å respektere «the essence of fundamental rights».

Formålet i offentleglova fremgår av § 1 som blant annet sier at «Formålet med lova er å leggje til rette for at offentleg verksemd er open og gjennomsiktig, for slik å styrkje informasjons- og ytringsfridommen, den demokratiske deltakinga, rettstryggleiken for den enkelte, tilliten til det offentlege og kontrollen frå ålmenta. (…)»

I veiledningen til offentleglova oppsummeres formålene i loven som demokratihensynet, kontrollhensynet og rettssikkerhetshensynet.(24)Rettleiar til offentleglova, Justisdepartementet, 2009 s. 11 Demokratihensynet lar borgere få innsikt i forvaltningen for å delta i demokratiet. Kontrollhensynet muliggjør tilsyn med forvaltningen f.eks. for å sikre forsvarlig bruk av offentlige midler. Rettssikkerhetshensynet sikrer en forvaltning som reduserer risiko for usaklig forskjellsbehandling og maktmisbruk. Dette er alle hensyn som er anerkjent som legitime formål, jf. GDPR artikkel 86 og fortalepunkt 154. Spørsmålet etter C-439/19 blir om det å gi innsyn i klasselister er nødvendig for å oppfylle disse formålene.

Det å gi innsyn i klasselister, er først og fremst å gi innsyn i personopplysninger til barn i skolen og deres foresatte. Selv om klasselister etter Justisdepartementets vurdering er et saksdokument, er det først og fremst en liste over personopplysningene til privatpersoner. Dette er privatpersoner som i utgangspunktet ikke har annen tilknytning til det offentlige enn at de er barn som går på offentlig skole eller er foresatte til slike barn.

Når vi vurderer hensynene i offentleglova,(25)Rettleiar til offentleglova, Justisdepartementet, 2009, s. 11 er det klart at innsyn i klasselister verken vil fremme samfunnsdebatten eller bidra til en åpen forvaltning. Det å få innsyn i klasselister vil heller ikke bidra til en åpen og gjennomsiktig forvaltning. Klasselister inneholder primært personopplysninger og gir ikke innsikt i forvaltningens praksis eller beslutningsgrunnlag. Derfor oppfylles verken demokratihensynet, kontrollhensynet eller rettssikkerhetshensynet ved at det gis innsyn i klasselister. Dette betyr at det å gi innsyn i klasselister ikke er nødvendig for å oppfylle formålene i offentleglova, noe som taler for at proporsjonalitetsprinsippet ikke er oppfylt.

Innsynsbestemmelsene i offentleglova har som formål å styrke tilliten til offentlig forvaltning. En bør derfor stille seg spørsmålet om det å gi innsyn i klasselister faktisk styrker denne tilliten. Reaksjonene etter saken med Stavanger arbeiderparti tyder på at slikt innsyn tvert imot kan svekke tilliten til offentlig forvaltning. Som borger i Norge og bruker av offentlige tjenester (for eksempel offentlig skole), må den enkelte kunne ha tillit til at personopplysningene deres ikke deles med andre som så bruker dem til formål som ikke er forenelige med det opprinnelige formålet de ble samlet inn til. Dette er et forbud mot formålsutglidning, og det er dette personvernprinsippet som blir utfordret når Justisdepartementet mener at offentleglova hjemler innsyn i klasselister. Det er nemlig nærliggende at innsyn i klasselister søkes for å få utlevert kontaktinformasjon til foresatte, slik som vi så i saken om Stavanger arbeiderparti. Denne typen viderebehandling svekker tilliten til offentlig forvaltning heller enn å styrke den, noe som er i strid med formålet i offentleglova. Dette taler også for at proporsjonalitetsprinsippet ikke er oppfylt.

Når det gis innsyn i klasselister, åpnes det for at personopplysninger om barn og foresatte blir delt med hvem som helst. Det er ikke noe krav til at den som søker innsyn ­etter offentleglova oppgir formålet med innsynsforespørselen. Skoleeier har heller ikke hjemmel til å kontrollere at den som har fått innsyn ikke viderebehandler personopplysningene til nye og uforenelige formål. Innsyn i klasselister er ikke innsyn i personopplysninger om straffbare forhold i form av trafikkovertredelser som i C-439/19. Det er som regel snakk om kontaktinformasjon, det vi si personopplysninger som ofte er mer offentlig tilgjengelige. Dette kan tilsi at denne typen innsyn er et mindre inngripende inngrep i den enkeltes personvern. Imidlertid er det nærliggende å anta at hovedpoenget med å søke innsyn i klasselister nettopp er å få tilgang til kontaktinformasjon som så brukes til å ta kontakt med foresatte på en måte de ikke har samtykket til. Reaksjonene på Stavanger arbeiderpartis bruk av klasselister for å sende politisk ­reklame viser at dette oppleves som inngripende. Denne forståelsen ­understøttes av Datatilsynets varsel om vedtak i saken:(26)23/03206-15

«Det fremstår som åpenbart for Datatilsynet at behandlingen har hatt faktisk negativ innvirkning på de registrerte. Vi legger til grunn at denne behandlingen har fått reaksjoner blant annet fordi den ikke var påregnelig for de den gjelder.»

Det å gi innsyn i klasselister er med andre ord en inngripende ­behandling, og det taler også for at proporsjonalitetskravet ikke er oppfylt.

Når det gis innsyn i klasselister, åpnes det for at personopplysninger om barn og foresatte blir delt med hvem som helst.

Konklusjon

Redegjørelsen ovenfor har vist at det å gi innsyn i klasselister ikke er nødvendig for å oppfylle formålene i offentleglova. Proporsjonalitetsprinsippet er ikke oppfylt, noe som betyr at det å gi innsyn i klasselister er et inngrep som er i strid med GDPR.

I vurderingen er det særlig vekt på at innsyn i klasselister innebærer at det utleveres personopplysninger om brukere av offentlige tjenester, noe som ikke er nødvendig for å oppfylle formålene i offentleglova. Det er også lagt vekt på at innsyn i klasselister kan svekke tilliten til offentlig forvaltning på grunn av risikoen for formålsutglidning. Til slutt er det lagt vekt på at denne ­typen deling kan ha negative konsekvenser for den enkelte og oppfattes som inngripende.

Noter

  1. Tolkningsuttalelse av 26.06.2009 fra lovavdelingen i Justisdepartementet (200703385 EO MHG)
  2. Tolkningsuttalelse av 16.07.2004 fra lovavdelingen i Justisdepartementet (2004/04600 ES KES/MHG/GMA)
  3. Artikkelen «Klasselister er offentlege dokument» opprinnelig publisert på datatilsynet.no den 21.06.2018
  4. Artikkelen «Reagerer på Ap-stunt: Datatilsynet har mottatt flere klager» opprinnelig publisert på VG.no den 25.08.2023
  5. Tolkningsuttalelse av 16.07.2004 fra lovavdelingen i Justisdepartementet (2004/04600 ES KES/MHG/GMA) Punkt 4.1
  6. Tolkningsuttalelse av 26.06.2009 fra lovavdelingen i Justisdepartementet (200703385 EO MHG)
  7. Prop. 56 .S (2017-2018) punkt 15.2 side 105
  8. «Personal data in official documents (…) may be disclosed (…) in accordance with Union or Member State law (…) in order to reconcile public access to official documents with the right to the protection of personal data pursuant to this Regulation.»
  9. Jf. GDPR artikkel 86 og ordlyden «in order to reconcile public access to official documents with the right to the protection of personal data pursuant to this Regulation»
  10. C-439/19, avsnitt 96
  11. C-439/19, avsnitt 97
  12. C-439/19, avsnitt 103
  13. I denne saken vurderte EU-domstolen nødvendighetskravet i GDPR artikkel 6(1)e) (utøvelse av offentlig myndighet eller oppgave i allmennhetens interesse), men nødvendighetsvurderingen vil være den samme etter GDPR artikkel 6(1)c), jf. ordlyden «behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige» (forfatters understreking).
  14. «the essence of the fundamental rights»
  15. C-439/19, avsnitt 105
  16. C-439/19, avsnitt 106
  17. C-439/19, avsnitt 108
  18. C-439/19, avsnitt 109
  19. C-439/19, avsnitt 110, jf. fortalepunkt 39
  20. C-439/19, avsnitt 111
  21. C-439/19, avsnitt 113
  22. C-439/19, avsnitt 119
  23. Jf. fortalepunkt 154
  24. Rettleiar til offentleglova, Justisdepartementet, 2009 s. 11
  25. Rettleiar til offentleglova, Justisdepartementet, 2009, s. 11
  26. 23/03206-15
Ida Thorsrud