T-553/23 Latombe mot Kommisjonen: Personopplysninger kan fortsatt overføres til USA

Den første avgjørelsen, sak T-553/23 Latombe mot Kommisjonen, ble avsagt av EUs førsteinstansrett 3. september, og gjelder gyldigheten om EUs vedtak om muligheten for overføring av personopplysninger til USA. Bakgrunnen for saken er som følger:

I juli 2023 fattet Europakommisjonen en såkalt «adequacy decision» i henhold til GDPR artikkel 45, dvs. en beslutning om at rammeverket for overføring av personopplysninger mellom EU og USA uten særlig godkjenning gir tilstrekkelig (adekvat) beskyttelsesnivå for EU-borgeres personopplysninger. Beslutningen kom etter at den første adekvansbeslutningen var blitt erklært ugyldig i den såkalt Schrems II-dommen, der EU-domstolen fant at Kommisjonens forrige adekvansbeslutning fra 2016 ga amerikanske myndigheter for ubegrenset adgang til å gjøre inngrep i europeiske borgeres personopplysninger, ved at det ikke gjaldt noe proporsjonalitetskrav og at overprøvingsadgangen var utilstrekkelig. Før dette igjen hadde EU-domstolen, i Schrems I, satt til side en tidligere adekvansbeslutning fra 2000. Kommisjonens adekvansbeslutning fra 2023 kom etter at amerikanske myndigheter hadde vedtatt nye rettssikkerhetsgarantier ved etterretningstjenestens tilgang til personopplysninger og endringer i overprøvingsadgangen gjennom Data Protection Review Court (DPRC).

Saksøkeren i den nye saken, Philippe Latombe, mente imidlertid at endringene i USA ikke var tilstrekkelige. Han mente blant annet at DPRC ikke var en tilstrekkelig uavhengig prøvingsinstans, men et forvaltningsorgan underlagt det amerikanske justisdepartementet, utpekt av justisministeren og ikke etablert ved lov. Retten var ikke enig i disse anførslene: Det var riktig at DPRC var opprettet gjennom en såkalt executive order, dvs. av regjeringen. Organet hadde imidlertid ifølge EUs førsteinstansrett tilstrekkelige garantier for uavhengighet, blant annet ved at myndigheten det var tildelt, ikke kunne trekkes tilbake, og at dommerne hadde oppsigelsesvern. Kravet om overprøvingsadgang ved et uavhengig organ etter Schrems II-dommen innebar ikke et absolutt krav om en tilgang til en domstol, men kunne også oppfylles ved adgang til overprøving ved et annen type organ som gir tilsvarende rettssikkerhetsgarantier.

Latombe hevdet også at amerikanske myndigheters adgang til å innhente personopplysninger «i bulk», dvs. innhenting av personopplysninger uten at det er basert på særskilte kriterier for mistanke, var i strid med retten til privatliv og beskyttelse av personopplysninger etter EUs Charter for grunnleggende rettigheter artikkel 7 og 8. Amerikanske myndigheter har, av hensyn til nasjonal sikkerhet, i visse situasjoner adgang til slik «bulk»-innhenting av personopplysninger i utlandet. Retten var imidlertid heller ikke enig i dette: For det første var vilkårene for bulkinnhenting av personopplysninger presisert i den nye presidentordren fra 2022, noe som snevret inn etterretningstjenestenes adgang til slik innhenting. For det andre mente Retten at Schrems II-dommen ikke oppstiller noe absolutt krav om at slik innhenting må ha en forutgående godkjennelse av en domstol – det er tilstrekkelig at beslutningen kan overprøves rettslig i ettertid.

Latombe fikk dermed ikke medhold på noen punkt, og adekvansbeslutningen fra 2023 ble dermed heller ikke satt til side.

Mens de tidligere Schrems-sakene var foreleggelsessaker, dvs. at Schrems hadde reist sak for en domstol i en medlemsstat, som deretter forela spørsmål til EU-domstolen, anla saksøkeren i denne saken, Philippe Latombe, søksmål direkte for EUs førsteinstansrett for å få adekvansbeslutningen var ugyldig. Det betyr også at Rettens avgjørelse i prinsippet kan ankes inn for EU-domstolen.

C- C-413/23 P EDPS mot SRB: Hva er en personopplysning?

Den andre avgjørelsen, sak C-413/23 P EDPS mot SRB, ble avsagt av EU-domstolens ankeinstans 4. september. Saken gjelder blant annet i hvilken utstrekning pseudonymiserte personopplysninger utgjør personopplysninger i henhold til forordning 2018/1725. Denne forordningen regulerer behandling av personopplysninger i EU-institusjonene, og inneholder i stor grad de samme reglene som den generelle personvernforordningen (GDPR). Begrepet personopplysninger definert på identisk måte i begge regelverk, slik at avgjørelsen vil ha betydning for tolkningen av GDPR.

Sakens bakgrunn var i enkelthet som følger: EU-byrået Single Resolution Board (SRB), som utgjør en del av EUs bankunion og har ansvaret for avvikling av banker i krise, fattet beslutning om å avvikle den spanske banken Banco Popular Español.

Aksjonærer og kreditorer fikk anledning til å sende inn kommentarer til en foreløpig avgjørelse om kompensasjon. Totalt kom det inn over 20 000 kommentarer. Informasjon om hvem som hadde sendt inn kommentarene, var kun tilgjengelig for et begrenset antall personer i SRB, som i en innledende registreringsfase hadde kontrollert innsendernes identitet. Ved den videre behandlingen av de konkrete kommentarene i SRB, mottok ikke saksbehandlerne informasjon om innsendernes identitet - kommentarene var kun merket med en alfanumerisk kode som kunne koble kommentarene til identitetsinformasjonen innhentet i registreringsfasen. 

I den videre behandlingen ble kommentarer som gjaldt vurdering av bankens behandling oversendt til Deloitte, som i denne sammenheng var oppnevnt for å gjennomføre en uavhengig vurdering. Deloitte mottok kun kommentarer med alfanumeriske koder, og det var bare SRB som kunne benytte kodene til å få tilgang til innsendernes identitet. Deloitte hadde med andre ord ingen adgang til identitetsinformasjonen innhentet i registreringsfasen. 

Berørte aksjonærer og kreditorer klaget SRB inn for Det europeiske datatilsynet (EDPS). De viste til at SRBs personvernerklæring ikke opplyste om at kommentarene ville bli oversendt Deloitte, og hevdet at dette representerte et brudd på den behandlingsansvarliges plikt til å gi informasjon om mottakere av personopplysninger etter forordning 2018/1725 artikkel 15 (1) (d).

EDPS fant at personopplysningene oversendt til Deloitte utgjorde såkalte pseudonymiserte personopplysninger – det vil kort fortalt si personopplysninger hvor informasjon om identitet ikke kan utledes uten tilleggsinformasjon underlagt nærmere sikkerhetsforanstaltninger, se utdypende forklaring på Det europeiske personvernrådets (EDPB) nettside. Slike opplysninger har like fullt vært ansett for å være personopplysninger etter forordning 2018/1725. EDPS fant derfor at SRB hadde brutt informasjonsplikten etter forordningens artikkel 15 (1) (d) da det ikke hadde blitt opplyst om at kommentarene ville bli oversendt Deloitte. I lys av sikkerhetstiltakene SRB hadde iverksatt, nøyde EDPS seg likevel med å anbefale at SRB sikrer at personvernerklæringen for fremtiden oppgir alle mottakere av personopplysninger. 

SRB brakte avgjørelsen inn til EUs førsteinstansrett (Retten), som annullerte EDPS’ avgjørelse. Begrunnelsen for dette var at EDPS ikke hadde foretatt en nærmere vurdering av om informasjonen oversendt Deloitte, falt innunder definisjonen av personopplysninger etter forordning 2018/1725 artikkel 3 (1). Konkret bemerket Retten at EDPS skulle ha vurdert nærmere om informasjonen kunne sies å være «om» identifiserte eller identifiserbare personer i henhold til kriteriene oppstilt i C-434/16 Nowak – dvs. at EDPS skulle ha vurdert kommentarene med hensyn til innhold, formål og virkning. Retten la også til grunn at pseudonymiserte personopplysninger ikke nødvendigvis utgjør personopplysninger i alle sammenhenger, og at EDPS skulle vurdert om kommentarene i dette tilfellet utgjorde personopplysninger fra Deloittes ståsted. Etter Rettens oppfatning ville SRB ha brutt informasjonsplikten etter artikkel 15 (1) (d) kun dersom dette var tilfellet.

EDPS anket avgjørelsen til EU-domstolen, hvor de sentrale spørsmålene var om opplysningene SRB hadde oversendt Deloitte utgjorde personopplysninger etter forordning 2018/1725, og videre hvilken betydning svaret på dette spørsmålet ville ha for SRBs informasjonsplikt etter forordningen artikkel 15 (1) (d). 

EU-domstolen var i flere henseender uenig med både Rettens vurderinger og EDPS’ anførsler:

• Til forskjell fra Retten kom EU-domstolen til at det ikke var nødvendig å foreta en vurdering av kommentarene med hensyn til innhold, formål og virkning for å kunne fastslå om de relaterer seg til fysiske personer: «That assessment by the General Court misconstrues the particular nature of personal opinions or views which, as an expression of a person’s thinking, are necessarily closely linked to that person» (premiss 58). EDPS fikk følgelig medhold i at Retten hadde begått en lovtolkningsfeil.
• EU-domstolen var derimot ikke enig i EDPS’ oppfatning om at pseudonymiserte opplysninger i alle sammenhenger utgjør personopplysninger etter forordning 2018/1725. Dette avhenger av om pseudonymisering er gjennomført ved tilstrekkelige tekniske og organisatoriske tiltak som sikrer at opplysningene ikke lenger kan knyttes til en person, jf. forordningen artikkel 3 (6). Der personopplysninger er pseudonymisert slik at det effektivt forhindrer andre personer fra å identifisere de registrerte, vil det for disse andre personene ikke være tale om informasjon om «identifiserbare personer» (premiss 86). Slik informasjon vil dermed ikke falle innunder definisjonen av personopplysninger etter forordningen. I den nærmere vurderingen av om en person er identifiserbar på bakgrunn av pseudonymiserte opplysninger, må det ses hen til alle midler som med rimelighet kan benyttes for å identifisere direkte eller indirekte en fysisk person (slik som kryss-sjekking opp mot annen tilgjengelig informasjon).
• Til tross for konklusjonen om at pseudonymisering kan medføre at opplysninger ikke utgjør personopplysninger etter forordning 2018/1725, kom EU-domstolen til at SRB – på tidspunktet for innhentingen – uansett hadde plikt til å informere aksjonærene og kreditorene om at deres kommentarer kom til å bli oversendt til Deloitte, jf. forordning 2018/1725 artikkel 15 (1) (d). Ulikt Retten mente EU-domstolen at informasjonsplikten ikke var avhengig av de oversendte opplysningene utgjorde personopplysninger for Deloitte.  EU-domstolen begrunnet dette med at informasjonsplikten etter artikkel 15 (1) (d) gjelder det rettslige forholdet mellom den behandlingsansvarlige og den registrerte. Bestemmelsen gjelder derfor informasjonen om den registrerte som blir overført til den behandlingsansvarlige, før det er tale om overføring til en tredjepart. Hvorvidt en person er identifiserbar på bakgrunn av opplysningene, må derfor vurderes på tidspunktet for innhentingen av opplysninger og fra ståstedet til den behandlingsansvarlige.