Forholdet mellom Personvernforordningen og offentlig innsyn

Abstract

Sammendrag

Oppgavens problemstilling er om gjeldende norsk rett er i samsvar med EU-retten hva angår tolkingen av GDPR art. 86 om adgang til å gi innsyn i personopplysninger.

Det første spørsmålet jeg stilte var om innføringen av EUs nye personvernforordning fortsatt innebærer at offentlighetsloven gir rett til innsyn i offentlige dokumenter selv om de inneholder (ikke taushetsbelagte) personopplysninger, og således innebærer et generelt unntak fra forordningen.

Gjennomgangen har vist at forarbeidene både i Norge, Sverige og Danmark mener man kan opprettholde praksis med at den gjeldende offentlighetsloven er tilstrekkelig hjemmel for innsyn i personopplysninger. Som sagt var ikke dette en komparativ oppgave, men ut fra gjeldende tradisjoner om nordisk samarbeid, også i andre fora enn de for nordisk samarbeid, er det ikke umulig å tenke seg at de nordiske departementene er samsnakket om forståelsen av bestemmelsen og konsekvensene deres egen praksis.

EU-domstolen har i storkammer behandlet spørsmål fra den latviske konstitusjonsdomstolen og kommet til at de ikke skulle gitt innsyn i et register over ilagt straff for trafikkoverskridelser. Domstolen kom til at personvernforordningen er ikke et hinder for å videreføre rettigheten til offentlig innsyn etter innføringen av personvernforordningen, men det må balanseres mot den enkeltes rett på vern av privatliv og personopplysninger. Den sier også at all behandling av personopplysninger må være i tråd med de generelle bestemmelsene i forordningen om hvordan de skal behandles og vilkår for å kunne behandle dem.

Jeg er enig med Thorsrud som mener dommen endrer rettstilstanden i Norge ved at man ikke bare kan vise til at offentlighetsloven gir hjemmel for å gi innsyn i alle ikke-taushetsbelagte personopplysninger. Etter min mening kommer domstolen med en så entydig uttalelse at man kan slå fast at art. 86 ikke er en unntaksbestemmelse, og når GDPR skal gjelde fullt ut, må offentlighetsloven tolkes innskrenkende.

Hvilke følger dette vil få i praksis blir interessant å se. Etter min vurdering vil det gjelde krav til behandlingsgrunnlag også i norsk rett for å oppfylle formålet med forordningen. Hvilken av grunnlagene i art. 6 man vil benytte er vanskelig å anslå.

Deretter spurte jeg om forordningen gir noen anvisning på hvordan de hensynene som må veies mot hverandre både i nasjonal lovgiving i Norge og i forordningens art. 86; offentlighet og personvern, skal balanseres.

Hvordan balanseringen skal gjennomføres gis det liten anvisning på utover at inngrepet (i personvernet) må være nødvendig og forholdsmessig. Selv om EU-domstolen har dømt mot å gi innsyn på grunnlag av GDPR ved to anledninger, er det ikke gitt at balanseringen vil gå i den retningen ved enhver anledning. Det sier også svensk høyesterett i sin tolkning av dommene. Formålet med GDPR er å sikre rettighetene til den registrerte. Da kan ikke nasjonale regler undergrave disse ved å omgå de generelle vilkårene i bestemmelsen

Abstract

Transparency and privacy and the protection of personal data are both recognized as fundamental values both in the European convention on human rights, and the Norwegian constitution.

Rapid technological developments have brought new challenges for the protection of personal data. The scale of data sharing and collecting has increased dramatically. Technology allows both private companies and public authorities to make use of personal data in an unpredicted scale in order to handle their activities, often on the basis of legal duties. As citizens we are dependent on their processing of our personal data in order to follow our rights and obligations, such as to get welfare benefits, get paid, pay our taxes, apply for studies and so on.

At the same time, transparency is essential in order to ensure the accountability og public institutions in the EU and their member states. Access to official documents is therefore recognized as a fundamental right under article 42 of the Charter of Fundamental rights of the EU, as well as in the constitutions of many member states..

The centerpiece of EU legislation on personal data protection is the General Data Protection Regulation, which was introduced in 2012 and legally binding from 2018, also for the EEA countries such as Norway.

Article 86 of the GDPR states that official documents may be disclosed for the sake of transparency, even if the GDPR remains applicable and even if the documents contains personal data. The provision thus points to a potential conflict which may arise between transparency and data protection, and says that member states needs to reconcile those conflicting rights. However it gives no indication on how this should be accomplished.

In Norway, the Government says that we can keep calm and carry on, as we already have the necessary balance in place. Our Freedom of Information act have a provisoin saying that Case documents, journals and similar registers of an administrative agency are public except as otherwise provided by statute or by regulations pursuant thereto. Any person may apply to an administrative agency for access to case documents, journals and similar registers of that administrative agency.

The former regulation on Data protection permitted us to disclose personal data, and the article 86 permit us to keep this practice as we have a national regulation in place the reconciles the right to access to public documents as well as data protection.

However, in a judgement in 2021, the European Court of Justice stated that national rules (in Latvia) that allow public bodies registering penalty points for road traffic offences to disclose such information to persons requesting access without a specific interest, is contrary to GDPR.

Does this imply that Norway need to reconsider our position? Several new articles suggests so. This question is the main issue in this master‘s thesis.

The conclusion from analyzing several judgements by the ECJ, relevant articles and the GDPR itself, is that Norway need to make an active judgement on where to strike the balance between the two considerations.