Sakens bakgrunn

Faktum i saken er – noe forenklet – at SRB (Single Resolution Board), som er et EU-byrå, innhentet synspunktet fra relevante parter (fysiske personer) i forbindelse med en sak de arbeidet med. De delte deretter synspunktene med konsulentfirmaet Deloitte. Før de delte opplysningene fjernet de navnet på personene som hadde kommet med innspill og erstattet navnet deres med et nummer. De fjernet også duplikater og irrelevante svar/synspunkter.

Personene som hadde kommet med sine innspill til SRB klaget saken inn til EDPS (som er datatilsynet til EU-byråer og organer). EDPS håndhever et regelverk som er tilnærmet likt som GDPR. Klagen handlet om at SRB ikke hadde informert om at personopplysninger ville bli utlevert til Deloitte.

Vilkårene for at det skal foreligge en personopplysning

Domstolen la til grunn at to kumulative vilkår må være oppfylt for at det skal foreligge personopplysninger som definert i GDPR:

For det første må det være snakk om en opplysning om en fysisk person(på engelsk: «related to»). Vilkåret er oppfylt dersom opplysningens innhold knytter seg til en person, men også dersom formålet knytter seg til en person eller dersom resultatet av bruken vil ha innvirkning på en person.

Det er interessant å merke seg at domstolen slo fast at noens meninger kan være personopplysninger, men at det ikke trenger å være det. Dette fordi det må vurderes konkret om innholdet, formålet eller effekten av meningene er linket til en fysisk person. Slik vurdering hadde ikke EDPS gjort.

For det andre, må de fysiske personene som opplysningene handler om være identifiserte eller identifiserbare.

I denne saken var det klart at Deloitte ikke kjente identiteten til personene bak synspunktene, og vurderingen var derfor om de var identifiserbare. SRB argumenterte med at for Deloitte var opplysningene anonymiserte, fordi de ikke med rimelighet kunne få tilgang tilleggsinformasjonen nødvendig for å identifisere personene bak synspunktene. EDPS, på sin side, synes å anføre at selve eksistensen av tilleggsopplysninger som kan re-identifisere de aktuelle personene, gjør at opplysningene er pseudonymiserte, selv hos en mottaker som ikke har disse tilleggsopplysningene.

Domstolen slo fast at vurderingen av om opplysningene er anonymiserte beror på om Deloitte kunne kombinere informasjonen de mottok med annen tilleggsinformasjon (som SRB besatt), og om dette var et virkemiddel som Deloitte med rimelighet kunne bruke. Ettersom EDPS ikke hadde foretatt en slik vurdering, kom domstolen til at EDPS ikke kunne konkludere med at opplysningene som Deloitte hadde mottatt var personopplysninger.

Relativt begrep

Avgjørelsen bekrefter at personopplysninger er et relativt begrep. Dette innebærer at hver aktør må gjøre sin egen vurdering. Selv om datasettet er pseudonymiserte opplysninger for avsenderen trenger det ikke være det for mottakeren, forutsatt mottakeren ikke med rimelighet kan re-identifisere personene. I så fall vil det ikke være nødvendig å gi informasjon om utleveringen i personvernerklæringen, og dette tilsier også at domstolen mener at det heller ikke er behov for behandlingsgrunnlag for utleveringen.

Det gjenstår å se om saken vil bli anket til CJEU. Dersom den blir anket vil EU sin øverste domstol forhåpentlig komme med viktige avklaringer rundt disse spørsmålene.