1. Roller

I enhver situasjon det behandles opplysninger om fysiske personer møter man flere aktører som kan være involvert i behandlingen. Den viktigste er den som er direkte berørt av behandlingen, den registrerte, som «eier» egne opplysninger. Opplysninger regelverket verner om. Dernest har vi den behandlingsansvarlige som har det personvernmessige ansvaret overfor førstnevnte om håndteringen av vedkommendes opplysninger. Denne bestemmer formålet med behandling personopplysninger, og hvordan behandlingen bør skje. Ofte vil en finne en eller flere databehandlere knyttet til behandlingsansvarlig etter avtale. Noen ganger finnes dessuten «mottakere». Disse kan for eksempel være andre behandlingsansvarlige som det utleveres personopplysninger til. Videre kan tredjeparter være aktuelle rollehavere. Disse siste er andre personer enn den registrerte, behandlingsansvarlige eller databehandleren, som har berettigede interesser i behandlingen.

Personvernforordningen definerer på samme måte som det tidligere regelverket, personverndirektivet, alle disse aktørene. Resultatet er mer eller mindre godt, men i realiteten gis bare tre roller oppmerksomhet; den registrerte (the Good), den behandlingsansvarlige (the Bad) og databehandleren (the Ugly). Den første er rettighetssubjektet, mens de øvrige er pliktsubjekter.

I denne artikkelen gis det en forenklet oversikt over dette trekantforholdet, for deretter å sentrere drøftelsen rundt hvorfor databehandlerforhold innad i staten ikke gir mening.

2. Ansvarsforhold

Personvernforordningen, som gir uttrykk for EUs sekundærlovgivning, er en utpensling av den grunnleggende menneskeretten om respekt for privatliv og familieliv i artikkel 8 i menneskerettskonvensjonen og i artikkel 8 i EUs Charter om grunnleggende rettigheter. Forordningen verner bare om fysiske rettighetssubjekter. Juridiske er utelatt, selv om disse har krav på privatlivets vern etter EMK-konvensjonen.

Den registrerte (the Good) har således etter det europeiske regelverket rett på at behandlingen av personopplysninger skjer etter grunnleggende normer, er lovmessig, rettferdig, transparent, nødvendig, formålstjenlig og sikker. Det har krav på å bli informert, å få kopi av egne data, ha mulighet til å gi egne opplysninger til andre, motsette seg behandlingen, kreve retting og sletting eller begrensning mv.

Ansvaret for at behandlingen skjer i tråd med prinsippene, samt for å tilrettelegge for utøvelsen av alle disse rettighetene hviler på den behandlingsansvarlige (the Bad). Det er denne som bærer pliktene etter forordningen. Den må påse at behandlingen skjer i tråd med prinsippene, at den er lovlig, transparent, nødvendig, mv. Den må informere, gi kopi, rette, slette, begrense, overføre, mv., og sikre opplysningene. Organisatoriske og tekniske tiltak skal implementeres og dokumenteres både løpende og før utvikling av løsningene som behandler personopplysninger. Behandlingsansvarlig må samtidig velge med omhu databehandleren (the Ugly) den setter ut behandlingen til. Den må inngå en avtale eller annet rettslig bindende instrument som angir rammene for databehandlerens opptreden.

Offentlige myndigheter under staten, kan ikke opptre som databehandlere for hverandre.

Databehandleren har i utgangspunktet tre sentrale plikter. Den må holde seg innenfor databehandleravtalen eller tilsvarende rettslig bindende dokument den inngår med behandlingsansvarlig; den må sørge for å inngå tilsvarende avtaler med underdatabehandlere, og den må sikre personopplysningenes med hensyn til konfidensialitet, tilgjengelighet og integritet.

Vi bruker ikke mer tid på dette nå. Vi trenger heller ikke gå inn på rolleavklaring, det vil si identifisere hvem bestemmer over formål og midler, hvem behandler personopplysninger på vegne av hvem. I det følgende vil det drøftes hvorfor ulike offentlige statlige myndigheter i Norge ikke kan opptre som databehandlere overfor hverandre, og at databehandleravtaler innad i Staten ikke oppfyller de EØS-rettslige forpliktelsene gitt i personvernforordningen. Med andre ord, offentlige myndigheter under staten, kan ikke opptre som databehandlere for hverandre.

3. Begrepene databehandler og behandlingsansvarlig

Først om jussen. Forordningen fastsetter i artikkel 4.7 hvem som kan være behandlingsansvarlig. Dette er «en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ…» Dernest, i artikkel 4.8, hvem som kan være databehandler. En «databehandler» [kan være] en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som behandler personopplysninger på vegne av den behandlingsansvarlige».

En ordlydskonform og sammenhengende tolkning av disse to begrepene kan tilsi at en offentlig myndighet (databehandler) kan opptre på vegne av en annen offentlig myndighet (behandlingsansvarlig). Denne slutningen er likevel ikke riktig for offentlige myndigheter som inngår i samme rettssubjekt. Vilkåret om adskilte rettssubjekter fremgår av forarbeidene til personverndirektivet (se punkt. 4 under) veiledninger fra europeiske ekspertorganer (pkt. 5) og teorien (pkt. 6). Mer sentralt følger vilkåret av den rettslige forventingen i forordningen om at forholdet controller-processor må kontraheres mellom partene med bindende virkning (pkt. 7).

4. Forarbeider til personverndirektivet – om begrepene

EF-kommisjonens forslag til nytt direktiv av 13. september 1990 ga ikke en definisjon av «databehandler». Forslaget definerte kun «controller of the file». Denne var parten med kompetanse til å «decide what will be the purpose of the file, which categories of personal data will be stored, which operations will be applied to them and which third parties may have access to them».

Teksten henviste videre til «data processing service bureaux» uten noe mer detaljering. Spørsmålet om databehandlere ble ikke viet noe særlig oppmerksomhet. Det fremgikk likeledes av merknadene til forslag til artikkel 22 om «processing on behalf of the controller of the file» at databehandleren måtte være en «third party», i forhold til behandlingsansvarlig. En som behandlet «on behalf of the controller of the file». Databehandleren må være bundet av en «kontrakt».

Begrepet processor ble innført i 1993 etter parlamentets behandling av forslaget. I merknadene i teksten kunne nå man lese at en processor var en «outside processor, a legally separate person acting on his behalf».

5. Uttalelse fra artikkel 29-arbeidsgruppen og veiledning fra EDPB

Spesialorganer nedsatt etter hhv. personverndirektivet, artikkel 29, og personvernforordningen, artikkel 68, har kommet med en uttalelse og en veiledning om begrepene og rollene behandlingsansvarlig og databehandler. Disse dokumentene er viktige rettskilder for forståelsen av direktivet og forordningen. Disse organene er ekspertrådgivere overfor Kommisjonen og medlemslandene. EU-domstolen legger ofte stor vekt på disse uttalelsene og veiledningene.

I begge dokumenter understrekes det at databehandleren må være en annen juridisk person enn behandlingsansvarlig. I artikkel 29-arbeidsgruppens uttalelse av 16. september 2010 om begrepene behandlingsansvarlig og databehandler skrives følgende:

I personvernrådets veiledning 07/2020 av 7. juli 2021 videreføres denne forståelsen, på side 25.

«Two basic conditions for qualifying as processor are: a) being a separate entity in relation to the controller…». Vilkåret “legally” er ikke nevnt. Det er imidlertid utvilsomt at vilkåret fortsatt gjelder.

Dette fremgår implisitt av følgende avsnitt:

6. Teori

Vi kan heller finne noen akademiske uenigheter rundt vilkåret om at databehandlere må være forskjellige juridiske personer. Kuner, Bygrave mfl. skriver for eksempel i A commentary til GDPR en analyse av begrepet processor at «a processor must be an entity that is legally separate from the controller. …At the same time, controllers may also undertake processing operations themselves, in which case there is no separate legal subject (i.e. processor) involved with regard to those specific operations.» McGillivray, i Government Cloud Procurement, side 111, skriver det samme.

Kontraktskravet i regelverket forutsetter likeledes eksistensen av to ulike rettssubjekter.

7. Rettslig bindende avtale

Det følger av artikkel 28 nr. 3 første punktum i personvernforordningen at «[b]ehandling utført av en databehandler skal være underlagt en avtale eller et annet rettslig dokument i henhold til unionsretten eller medlemsstatenes nasjonale rett som er bindende for databehandleren med hensyn til den behandlingsansvarlige».

En databehandleravtale må dermed være rettslig bindende mellom partene, databehandleren og behandlingsansvarlig, for å være i samsvar med forordningen.

Bestemmelsen definerer riktignok ikke hva som kan utgjøre en avtale etter forordningen. Avtalen må i det minste oppgi gjenstand, formål, varighet, og art med behandlingen, typer personopplysninger og kategorier av registrerte. I tillegg må det fremgå hvilke rettigheter og plikter behandlingsansvarlig har. Alle elementene i bestemmelsens andre ledd, eks. taushetsplikt, sikkerhetstiltak, bistandsplikt, mv. må reguleres i tillegg. Forordningen fastsetter imidlertid neppe noen gyldighetsvilkår. En er i stedet henvist til EU-retten eller nasjonalrettens regler for å fastslå avtalens gyldighet, herunder avtalens bindende karakter mellom partene.

EUs regelverk regulerer i liten grad rettslige forhold slik som kontraktens gyldighet. Det finnes enkelte kontraktsbegreper i forbrukerlovgivning, offentlige anskaffelser, og konkurranseretten. Rettsforholdet er primært nasjonalt anliggende, jf. subsidiaritetsprinsippet mellom landene og EU-organene. Hva som er en bindende avtale, vil dermed først og fremst bero på en tolkning av nasjonal kontraktsrett (pkt. 8 under) i de ulike EØS-landene.

8. Hva sier avtaleretten i Norge og andre europeiske land?

Norsk avtalelov har ingen legal definisjon av hva en rettslig bindende avtale er.

I juridisk litteratur, legger Woxholth i «Avtalerett» til grunn at: «en rettslig bindende avtale foreligger først når to eller flere parter er blitt enige om å stifte eller endre et rettsforhold seg imellom, herunder at rettsforholdet bringes til opphør. Det som særpreger en rettslig bindende avtale, er at den kan gjennomføres ved domstolenes hjelp – enten ved at det avsies dom for at parten skal oppfylle avtalen.»

På samme måte uttaler Selvig i «Kontraktsretten» at: «kontrakten er rettslig bindende, betyr at de regler og krav til partenes handlemåte som kontrakten fastsetter, kan håndheves ved rettsapparatets hjelp overfor en part som ikke etterlever bestemmelsene frivillig».

Rettstradisjonen i Frankrike og i andre europeiske land regulerer hva avtalene er, og hvilke vilkår som gjør dem gyldige. I common law forutsetter en avtales gyldighet at det foreligger tilbud og aksept mellom ulike parter, intensjon om å inngå avtalen, og «consideration». Tysk rett krever en utveksling av tilbud og aksept.

Det vil overgå alle våre ambisjoner med denne artikkelen å skulle gi en fullstendig fremstilling av vilkårene om avtalens rettslige bindende karakter i Europa. Vi legger til grunn her at fellesnevneren i den europeiske rettstradisjonen er at kontrakter forutsetter at det foreligger minst to forskjellige parter som frivillig forplikter seg til å yte noe overfor hverandre, eller til å endre og opphøre en ytelse. Det er altså ikke rettslig mulig å inngå avtaler med en selv.

Siden avtalebegrepet forekommer i personvernforordningen kan vi ikke utelukke at EU-domstolen blir forelagt tolkningsspørsmål om det, og at rettspraksis fra Luxembourg blir avgjørende. På området offentlige anskaffelser har EU-domstolen gitt viktige avklaringer om vilkårene som underligger kontraktsbegrepet (pkt. 9). Disse gir gode holdepunkter for vurdering av innholdet i en rettslig bindende avtale eller annet rettslig dokument – kontraktsvilkåret – etter artikkel 28.3 i personvernforordningen.

9. Hva sier rettspraksis fra anskaffelsesretten?

Rettspraksis innenfor anskaffelsesretten bør etter vår mening gis relevans ved tolkning av kontraktsvilkåret i personvernforordningen. Kontraktsvilkårets kjerne er den samme uavhengig rettsområdet, og anskaffelsesretten er tross alt et gren innenfor kontraktsretten.

Anskaffelsesreglene definerer offentlige kontrakter som «gjensidig bebyrdende kontrakter …», jf. definisjonen i anskaffelsesdirektivet artikkel 2. 5. En databehandleravtale etter personvernforordningen er også «gjensidig bebyrdende». Det er ikke en ensidig erklæring fra behandlingsansvarlig. Dette kan også utledes av forutsetningen om at behandlingsansvarlig foretar et «valg» av databehandler. En den frivillig knytter seg til som medhjelper for behandlingsaktivitetene sine.

EU-domstolen har uttalt at det gjensidige bebyrdende elementet i den offentlige kontrakten kjennetegnes ved at det medfører kontraktsforpliktelser for to eller flere parter som kan begjæres oppfylt med domstolenes hjelp, jf. sak C-367/19, avsnitt 26.

I Helmut Müller, sak C 451/08, EU:C:2010:168, avsnitt 62, ble dette uttrykt enda tydeligere.

EU-domstolen har videre uttalt at en offentlig kontrakt må inngås mellom separate rettssubjekter. I Stadt Halle, C-26/03, avsnitt 47 uttales følgende:

I nyere rettspraksis fremgår dette vilkåret av EU-domstolens dom i Comune di Lerici, sak C 719/20, avsnitt 33.

Andre rettskilder innen det samme fagområdet støtter opp under hovedtesen i denne artikkelen om at databehandleravtaler forutsetter minst to atskilte rettssubjekter (pkt. 10).

10. Veiledning fra NHD og ESA

I gjeldende veiledning fra Nærings- og handelsdepartementet om offentlige kontrakter står det, i samsvar med argumentasjonen som er fremført foran, følgende:

I ESAs avgjørelse av 25 september 2002 med referanse 170/02/COL i en klagesak som gjaldt ytelser fra Statens vegvesen til Kystverket, var ESA enig i statens anførsler. Organet konkluderte med at

og videre at

Resonnementet er ikke vanskelig å følge. Dette må også gjelde tilsvarende for avtaler mellom en databehandler og en behandlingsansvarlig. Vi ser nå på hovedspørsmålet – hypotesen – i saken (pkt. 11).

11. Kan et statlig direktorat være databehandler for et departement?

Statlige organer kan, så lenge de deler på den samme juridiske person, verken opptre som databehandlere for hverandre eller inngå rettslig bindende avtaler i tråd med artikkel 28. nr. 3.

Staten opptrer rettslig i de aller fleste sammenhengene som én juridisk person.

Søksmål mot staten anlegges mot staten ved vedkommende departement. Det er ikke departementet som får partsstilling, men det konkretiserer hvem som er statens representant i saken, jf. Ot.prp. nr. 51 (2004-2005), side 368.

Skoghøy, tvisteløsning, skriver at «… Under tvistemålsloven av 1915 hadde virksomheter som ble drevet av staten eller av en kommune eller fylkeskommune, bare alminnelig partsevne dersom virksomheten var organisert som selvstendig rettssubjekt, eller det ved særskilt lovbestemmelse var fastsatt at virksomheten hadde partsevne.» og «I den utstrekning dette ikke var tilfellet, måtte saken anlegges av eller mot staten eller den kommune eller fylkeskommune som hadde organisert virksomheten.»

Det er altså klart at staten opererer som én juridisk person, et selvstendig rettssubjekt, og at staten ikke kan anlegge sak mot seg selv, med mindre det følger av særskilt lovbestemmelse at adgangen foreligger. Dette betyr jo, for det som interesserer denne fremstillingen, at ulike statlige forvaltningsorganer bare har én og samme juridisk person, og ergo mangler evnen til å opptre som databehandlere for hverandre, eller til å inngå bindende avtaler som ikke kan håndheves av domstolene.

12. Anbefaling og rettslige konsekvenser

Vi har konkludert med at statlige organer, enten i hierarkiske eller horisontale linjer, ikke kan opptre som databehandlere fordi de er samme juridisk person. Anbefalingen blir følgelig at i stedet for at det inngås unyttige databehandleravtaler, fastsettes skriftlige instrukser eller retningslinjer mellom de ulike forvaltningsorganene som påviser for den registrerte og tilsynsmyndighetene at de tar ansvaret for personopplysningene på alvor. En risiko ved å la inngåtte databehandleravtaler stå er at to forskjellige forvaltningsorganer kan gis overtredelsesgebyr for samme brudd på behandling av personopplysninger etter personopplysningsloven § 26. Det ene forvaltningsorganet i egenskap av behandlingsansvarlig og det andre som databehandler.

Det kan anføres at det følger av argumentasjonen foran at flere forvaltningsorganer i staten også opptrer som én behandlingsansvarlig. Det finnes likevel gode holdepunkter i personvernforordningen, jf. artikkel 4.7 for å fastholde at forvaltningsorganene i tilfellet anses som «offentlig myndighet» i begrepets forstand uten at det stilles vilkår om å være egne rettssubjekter. Alternativet ville medført konsekvenser for muligheten til å ha ordninger om felles behandlingsansvar innad i staten.

Relasjonen mellom behandlingsansvarlige forvaltningsorganer er ulik forholdet databehandler–behandlingsansvarlig. Det er blant annet ikke krav om inngåelse av rettslig bindende avtaler mellom behandlingsansvarlige etter art. 26 i personvernforordningen for behandling av personopplysninger i felleskap. Det foreligger dessuten en bred oppfatning om at ulike statlige forvaltningsorganer kan opptre som selvstendig behandlingsansvarlige selv om de tilhører samme rettssubjekt.

Kravet om egen juridisk person overfor behandlingsansvarlig ville medført vanskelige sjongleringsøvelser ved ileggelse av overtredelsesgebyr når flere behandlingsansvarlige i realiteten operer under samme hatt. Er staten ved departement X og staten ved direktorat Y som blir ilagt overtredelsesgebyr eller bare staten? Gebyrer blir uansett i neste sving innkrevd samlet av staten ved Statens innkrevingssentral.

Det som er viktig er å fastlegge hvem som bærer ansvaret for behandlingsaktivitetene, for en etterfølgende vurdering av hvorvidt gjennomføring av ansvaret oppfyller fastsatte rettslige normer.

Vi velger å parkere diskusjonen her. Påstanden om at en offentlig myndighet, som selvstendig behandlingsansvarlig måtte ha egen rettslig handleevne, adskilt fra handleevnen til andre behandlingsansvarlige offentlige myndigheter ville kollidert med regulering av behandlingsansvaret i utallige lover og forskrifter.

For den registrerte (the Good) i denne historien er det uten betydning om databehandleravtaler inngått mellom forskjellige forvaltningsorganer i staten anses som nulliteter. Det som er viktig er å fastlegge hvem som bærer ansvaret for behandlingsaktivitetene, for en etterfølgende vurdering av hvorvidt gjennomføring av ansvaret oppfyller fastsatte rettslige normer. Den gode kan håndheve sin rett til personvern mot staten uansett.