EU-domstolens dom av 28. november 2024.
Det følgende omtaler kun de deler av dommen som er relevant for personvernforordningen (GDPR).
Sentrale artikler behandlet:
– Artikkel 14(5)(c)
– Artikkel 77(1)
Hovedpunkter
- Artikkel 14 omfatter alle personopplysninger som ikke er dekket av artikkel 13, dvs. alle opplysninger som ikke er samlet inn fra den registrerte selv.
- Artikkel 14 omfatter derfor også personopplysninger som den behandlingsansvarlige genererer selv.
- Unntaket i artikkel 14(5)(c) om å informere den registrerte omfatter derfor også personopplysninger som den behandlingsansvarlige har generert selv.
- Tilsynsmyndigheten kan i en klageprosess vurdere om nasjonal lovgivning gir tilstrekkelige tiltak for å beskytte den registrertes berettigede interesser, som kreves for å anvende unntaket i artikkel 14(5)(c).
- Denne vurderingen omfatter imidlertid ikke tiltak for sikkerhet i behandlingen som kreves etter artikkel 32.
Bakgrunn
En person fikk utstedt et immunitetssertifikat som bekreftet vaksinasjon mot COVID-19 av myndighetene. Personen klaget inn behandlingen av personopplysninger i tilknytning til sertifikatet til tilsynsmyndigheten etter GDPR artikkel 77(1) på bakgrunn av at vedkommende mente at det ikke var gitt tilstrekkelig informasjon om behandlingen av personopplysninger for immunitetssertifikatene, bl.a. informasjon om formål, rettslig grunnlag for behandlingen og de registrertes rettigheter.
Utstedelsesmyndigheten mente at behandlingen var basert på myndighetsbeslutning etter GDPR artikkel 6(1)(e) og artikkel 9(2)(i). Videre opplyste de at personopplysningene ble innhentet fra annen myndighet, slik at en eventuell opplysningsplikt ville da følge av artikkel 14. Og i slikt tilfelle gjelder unntaket etter GDPR artikkel 14(5)(c), som fritar dem for opplysningsplikt. De offentliggjorde likevel en personvernerklæring på sin nettside.
Saken ble bragt innfor domstolene, som fremmet problemstillingene for EU-domstolen.
GDPR artikkel 14(5)(c) – unntak fra informasjonsplikt
EU-domstolen ble bedt om å avklare hvorvidt unntaket i artikkel 14(5)(c) gjelder for alle personopplysninger som behandlingsansvarlig ikke har innhentet direkte fra den registrerte, eller om det kun gjelder opplysninger innhentet fra tredjepart.
GDPR artikkel 14(5)(c) gir unntak fra informasjonsplikten overfor registrerte etter GDPR artikkel 14(1) til (3) dersom:
… innsamling eller utlevering er uttrykkelig fastsatt i unionsretten eller medlemsstatenes nasjonale rett som den behandlingsansvarlige er underlagt, og som inneholder egnede tiltak for å verne den registrertes berettigede interesser …
Forståelsen av bestemmelsen må baseres på ordbruken i bestemmelsen. Artikkel 14 bruker begrepene «samlet inn» (bruker «innhente» i fortalepunkt 61 i den norske oversettelsen) og «utlevere» av opplysninger, men de ulike språkversjonene varierer mellom «data» og «informasjon» (den norske oversettelsen bruker «informasjon»). I følge rettspraksis skal EU-rettsakter tolkes enhetlig på tvers av språkversjoner og at bestemmelsen omhandler personopplysninger generelt.
Ordlyden i fortalepunkt 61 og 62 må også ha betydning, siden disse bruker også begrepene «samlet inn» og «utlevere», samt «informasjon». At artikkel 14(5)(c) også omfatter personopplysninger følger av den brede forståelsen av behandling etter artikkel 4 nr. 2, som omhandler all behandling av personopplysninger.
GDPR artikkel 13 gjelder opplysninger innhentet fra den registrerte, mens artikkel 14 gjelder opplysninger som ikke er innhentet fra den registrerte. Artikkel 13 er dermed positivt avgrenses, og artikkel 14 er negativt avgrenset og vil da gjelde alle andre personopplysninger som ikke omfattes av artikkel 13. Når da artikkel 14 gjelder opplysninger som er «samlet inn» («obtained»), må dette også omfatte begge kategorier, dvs. opplysninger innhentet fra tredjepart og opplysninger generert av behandlingsansvarlig. Artikkel 14(5)(c) inneholder heller ingen begrensning til opplysninger som er generert av behandlingsansvarlig.
Unntaket i artikkel 14(5)(c) om å informere den registrerte omfatter derfor også personopplysninger som den behandlingsansvarlige har generert selv.
Formålet med GDPR er imidlertid å sikre høy beskyttelse av den registrertes rettigheter, spesielt retten til privatliv. Unntaket i artikkel 14(5)(c) kan kun anvendes dersom EU- eller nasjonal lov gir tilstrekkelige tiltak for å beskytte den registrertes berettigede interesser, og nivået av beskyttelse må minst tilsvare kravene i artikkel 14(1) til (4).
GDPR artikkel 77(1) – tilsynsmyndighets kompetanse
EU-domstolen vurderte som spørsmål om tilsynsmyndighetenes kompetanse i forbindelse med klager under artikkel 77(1) og anvendelsen av unntaket i artikkel 14(5)(c), ved om tilsynsmyndighet kan vurdere om nasjonal lovgivning gir tilstrekkelige tiltak for å beskytte den registrertes berettigede interesser, og om dette inkluderer tiltak etter artikkel 32 for å sikre behandlingen.
Tilsynsmyndighetene har kompetanse til å undersøke om nasjonal lovgivning gir «tilstrekkelige tiltak» for å beskytte den registrertes berettigede interesser, som kreves for å anvende unntaket i artikkel 14(5)(c). Dette inkluderer å vurdere om lovgivningen gir den registrerte tilstrekkelig tilgang til informasjon om behandlingen av deres personopplysninger. Nevnte artikkel gir ingen unntak fra om tilsynsmyndighet kan vurdere om artikkel 14(5)(c) kommer til anvendelse.
Undersøkelsen av nasjonal lovgivning innebærer ikke at tilsynsmyndigheten vurderer gyldigheten av nasjonal lovgivning, men om behandlingsansvarlig i det konkrete tilfellet oppfyller vilkårene for å påberope seg unntaket i artikkel 14(5)(c). Finner tilsynsmyndigheten at vilkårene for unntaket ikke er oppfylt, må den pålegge behandlingsansvarlig å gi informasjon til den registrerte i samsvar med artikkel 14(1), (2) og (4). Hvis klagen avvises, må den registrerte ha tilgang til en effektiv rettslig klagemulighet i henhold til GDPR artikkel 78.
Undersøkelsen dekker ikke tiltak som kreves etter artikkel 32, da dette regulerer sikkerhet ved behandlingen og påvirker ikke informasjonsplikten i artikkel 14. Tiltakene under artikkel 32 må imidlertid overholdes uavhengig av informasjonsplikten.
Tilsynsmyndigheten kan i en klageprosess vurdere om nasjonal lovgivning gir tilstrekkelige tiltak for å beskytte den registrertes berettigede interesser, som kreves for å anvende unntaket i artikkel 14(5)(c). Denne vurderingen omfatter ikke tiltak for sikkerhet i behandlingen som kreves etter artikkel 32.
