Vi leser C‑768/21 om at nasjonale tilsyn ikke MÅ ilegge en bot for brudd på GDPR. Men egentlig er det mest interessante med denne dommen hvilket ansvar behandlingsansvarlig har for brudd på GDPR når ansatte med forsett bryter interne instrukser. Kort fortalt: selv om ansatte bryter med instruksen din om f.eks. å ikke snoke, vil Datatilsynet kunne gi deg en bot. Men det hjelper å ha solid internkontroll. I denne saken hadde behandlingsansvarlig (en bank) oppdaget at en ansatt hadde snoket på en registrert. Saken ble undersøkt og det var på det rene at dette var uautorisert tilgang til personopplysningene, og de hadde ikke blitt delt med tredjeparter. Videre hadde snokeren fått en disiplinærreaksjon, og etter påsyn fra tilsynet, bestemte banken seg for å lagre tilgangsloggene i mer enn 3 mnder. EU-domstolen kom til at datatilsynet ikke trengte å gi en bot for dette, og la vekt på at så lenge formålene bak artikkel 58(2) og 82 var oppfylt, sto tilsynet fritt til å bestemme reaksjon. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 28.06.25 kl. 11.30. Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=290402&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1667151

Vi leser C-203/22 om hvilken informasjon du har krav på om logikken bak en automatisert avgjørelse Domstolen slo fast at den registrerte har rett til en forklaring som er konsis, transparent og forståelig. Dette betyr at en kompleks matematisk formel er ikke tilstrekkelig. Forklaringen skal være forståelig for lekpersoner. Hvis det å informere vil være å utlevere forretningshemmeligheter eller bryte med tredjepersoners personvern, skal virksomheten sende informasjonen til Datatilsynet eller en domstol som vil gjøre den konkrete vurderingen av hvilken informasjon som den registrerte har krav på. I denne dommen legger også domstolen vekt på en Guideline fra art 29-gruppen og den nevner at retten til innsyn er en forutsetning for at den registrerte kan få oppfylt øvrige personvernrettigheter etter GDPR. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 08.06.25 kl. 12.00. Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf;jsessionid=D38E2BE55237B4D9278A3E915CCF8A98?text=&docid=295841&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=6355095

C‑479/22 P er en ankesak om en pressemelding fra et EU-organ inneholdt personopplysninger. Domstolen slår fast rettsregelen i Breyer-dommen om at noe er en personopplysning, hvis det er "reasoinably likely" at en enkeltperson kan identifiseres gjennom lovlige, tilgjengelige midler. Domstolen uttaler seg om at de konkrete opplysningene i pressemeldingen var nok til at personer som jobbet med den registrerte kunne identifisere henne, og at andre kunne finne ut hvem hun var ut i fra opplysningene i pressemeldingen og noen enkle internettsøk.. Domstolen slo også fast at det ikke er relevant for vurderingen av om noe er en personopplysning, at den registrerte faktisk har blitt identifisert. Vurderingstemaet er om identifisering er "reasonably likely". Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 25.05.25 kl. 11.30. Du finner dommen her: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62022CJ0479

C-394/23 er først og fremst kjent fordi et togselskap ønsket at alle kunder som kjøpe togbillett måtte velge mellom “Hr” og “Fru”. Og det er jo litt jucy. Men dommen handler om så mye mer enn det. Det var ikke bestridt at det å knytte “Hr.” og “Fru” til en identifiserbar person, var en personopplysning. Spørsmålet var hvilket behandlingsgrunnlag som var det mest treffende. Kunne togselskapet bruke GDPR art. 6(1) b) kontrakt eller art. 6(1) f) berettigede interesser? Og var det nødvendig å behandle opplysninger om “Hr” og “Fru” for å oppfylle formålet? Kort fortalt mente domstolen at nei, dette var ikke nødvendig. Dommen inneholder en av de beste nødvendighetsvurderingene jeg har sett! Og så understreker domstolen (nok en gang) at en forutsetning for å kunne påberope seg berettigede interesser som behandlingsgrunnlag, er at den registrerte er informert etter GDPR art. 13(1). Og den syndes det nok mye imot! Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 18.05.25 kl. 11.30. Du finner dommen her: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62023CJ0394

Behandlinger av personopplysninger skal overholde prinsippene om proporsjonalitet og nødvendighet. Men hva betyr dette? Vi leser C-505/19 fra EU-domstolen! Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 11.05.25 kl. 11.30. Du finner dommen her: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62019CJ0505

C-621/22 KNLTB handlet om en nederlandsk tennisforening, som solgte personopplysningene til medlemmer til tredjeparter for markedsføringsformål. Det var to tredjeparter: en som brukte personopplysningene til medlemmene for å tilby dem sportsrelaterte produkter, og en annen som reklamerte for pengespill. Spørsmålet var om betettigede interesser kunne brukes som hjemmel. Selv om EU-domstolen ikke konkluderer, inneholder dommen en rekke føringer: - Berettigede interesser kan bare brukes som behandlingsgrunnlag hvis behandlingen ikke kan oppnås på mindre inngripende måter (mindre inngripende for personvernet). Dette gjelder også valg av behandlingsgrunnlag. - Berettigede interesser kan bare brukes som behandlingsgrunnlag hvis behandlingsansvarlig også overholder øvrige krav til personvern i GDPR. Her hadde ikke behandlingsansvarlig informert om behandlingen. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 04.05.25 kl. 11.30. Du finner dommen her: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62022CJ0621

Hvis du finner sensitive personopplysninger om noen som de selv har publisert på internett, hva kan du bruke dem til? Vi får svaret i C-446/21, nok en Schrems- dom fra EU-domstolen . I denne saken hadde Max Schrems offentliggjort opplysninger om sin egen seksuelle orientering under en panelsamtale som så ble delt på sosiale medier. Spørsmålet var om Meta så kunne bruke denne opplysningen til noe. Målrettet reklame f.eks.  Domstolen kom til at selv om GDPR artikkel 9(2)e) sier at forbudet mot å behandle særlig kategori personopplysninger ikke gjelder når det er “åpenbart at den registrerte har offentliggjort” dem, betyr ikke det at det er fritt frem til å behandle disse personopplysningene til helt andre formål. Domstolen begrunnet dette med at en annen forståelse ville svekke beskyttelsen av særlig kategorier personopplysninger som forbudet i GDPR artikkel 9(1) legger opp til. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 08.01.25 kl. 16.00. Du finner dommen her: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62021CJ0446

EU-retten har etablert at inngrep i fundamentale rettigheter som personvern kan aksepteres hvis inngrepet er nødvendig for å oppnå et legitimt formål. Datalagringsdirektivet oppfylte ikke kravet til nødvendighet. Formålene som direktivet søkte å oppnå var legitimt, men virkemidlene gikk lenger enn det som er nødvendig for å oppfylle formålet. Dette gjaldt særlig forpliktelsen om å lagre all trafikkdata i en lengre periode uten konkret mistanke om at et straffbart forhold var skjedd. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 13.10.24 kl. 11.00. Du finner dommen her: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62012CJ0293

Rettspraksis kan også være en rettslig forpliktelse og brukes som behandlingsgrunnlag etter GDPR artikkel 6(1) bokstav c). Men bare på visse vilkår. I denne dommen sier EU-domstolen noe om disse vilkårene. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 01.01.25 kl. 11.00. Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?docid=290003&doclang=en

Er koblingen mellom navnet ditt og medisinske produkter du kjøper på apoteket reseptfritt en særlig kategori personopplysning? EU-domstolen mener ja. Vi leser dommen! EU-domstolen kom til at opplysninger om navnet til en person som kjøper reseptfrie legemidler fra et nettapotek, sammen med informasjon om leveringsadresse, er helseopplysninger som faller inn under GDPR artikkel 9. Dette gjelder selv om personen som kjøper kan bestille fra noen andre. Domstolen la særlig vekt på formålet bak det at det finnes særlige kategoerier av personopplysninger for å komme frem til dette tolkningsresultatet. Nemlig beskyttelse av rettighetene og frihetene til den registrerte. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 25.12.24 kl. 11.00. Du finner dommen her: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62023CJ0021

Når du gjør tredjelandsvurderinger ser du på om lover i land utenfor EU/EØS respekterer retts-sikkerhetsstandardene våre. Men vi må også respektere dem. Vi leser C-203/15 og C-698/15! Det kan kjennes litt ironisk å gjøre tredjelandsvurderinger noen ganger. Fordi er vi sikre på at VI lever opp til de samme rettssikkerhetskravene som vi krever at land utenfor EU/EØS gjør for at vi skal kunne overføre personopplysninger dit? Det korte svaret er: ikke alltid. C-203/15 og C-698/15 er en dom hvor henholdsvis Sverige og Storbritannia ble dømt i EU-domstolen for å ha datalagringslover som var i strid med EU-rett og rettssikkerhetsstandardene våre. Kort fortalt fordi krav til datalagring ikke var spesifikke nok. Et land kan ikke pålegge kommunikasjonsselskaper en generell lagrinsplikt for alle mulige data (herunder personopplysninger) i en gitt tid. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 14.06.24 kl. 12.30. Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf;jsessionid=500D8EB66946D612E2CCE0BF1405F142?text=&docid=288144&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=4439824

I denne dommen kom EU-domstilen til at en tidligere verge var en behandlingsansvarlig og må således følge GDPR. Det å være en verge faller ikke under unntaket “rent personlig eller familiemessig aktivitet” da det er en professjonell eller kommersiell aktivitet. Og det gjelder også selv om vergen er i familie med den som blir satt under vergemål. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 28.07.24 kl. 12.00. Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=270323&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=3876365

Herr Schwarz nektet å ta fingreavtrykk for å få pass. Han mente at EU-regelverket som påla Tyskland dette var i strid med personvernet. Domstolen kom til at dette var et legitimt inngrep og at behandlingsgrunnlaget var gyldig. Jeg tar med med 3 ting fra denne dommen: 1) Fingreavtykk er personopplysninger, og det å lagre dem i et pass er en behandling av personopplysninger. 2) Selv om fingreavtrykkteknologien ikke er perfekt og vil noen ganger ta feil, betyr ikke det at det ikke er et passende teknisk tiltak. 3) Behandlingsgrunnlaget åpnet ikke for å ha en sental database for lagring av fingreavtrykkene. Dette ville være problematisk mtp formålsutglidning. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 26.07.24 kl. 12.00. Du finner dommen her: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62012CJ0291

GDPR artikkel 6(1) har en rekke behandlingsgrunnlag knyttet når det er «nødvendig», men hva betyr det egentlig at noe er «nødvendig»? Vi leser Huber-dommen (C-524/06)! Dommen handler om Herr Huber, som først prøvde å få sine personopplysninger slettet fra et register der han sto oppført som innvandrer med personopplysninger som nasjonalitet, fødselsdato og kjønn. Noe tilsvarende register fantes ikke for tyske statsborgere. Da tyske myndigheter nektet å slette personopplysningene hans, saksøkte han Tyskland fordi han mente det inneholdt flere personopplysninger enn det som var nødvendig for å oppfylle formålet. Og det fikk han medhold i! Dette er en dom fra 2008 som både handler om personvern og om forbudet mot diskriminering på bakgrunn av nasjonalitet i Treaty on the Functioning of the European Union. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 17.11.23 kl. 16.00. Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=76077&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=8060957

C-534/20 (også kalt Leistritz) handler om et personvernombud som ble sparket fra den virksomheten hun jobbet i etter en omorganisering. Kunne hun bli sparket? GDPR inneholder et særlig vern for personvernombud som sier at de ikke kan sparkes eller utsettes for disiplinærreaksjoner for å ha kommet med personvernråd som behandlingsansvarlig er uenig i. Men hvor langt strekker dette vernet seg? Betyr det at en omstrukturering også verner personvernombudet ditt? Det ser vi på i denne dommen! Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 18.07.24. Du kan se videoopptaket her: https://www.linkedin.com/events/7219308166293921792/comments/ Du finner dommen her: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62020CJ0534

C-453/21 handler om i hvilke tilfeller du kan sparke et personvernombud, gitt at et personvernombud nyter et særlig vern etter GDPR. Dette særlig vernet går ut på at et personvernombud ikke kan sparkes eller utsettes for disiplinærreaksjoner for å ha kommet med personvernråd som behandlingsansvarlig er uenig i. Men hvor langt strekker denne beskyttelsen seg? Hva er egentlig formålet med denne særlige beskyttelsen? Og hvilken type interessekonflikt kan personvernombudet sparkes for? Det ser vi på i denne dommen. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 13.07.24. Du kan se videoopptaket her: https://www.linkedin.com/events/n-rkandusparkeetpersonvernombud7218653081176023041/comments/ Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=270323&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=3876365 Dette er en dom jeg trodde jeg hadde lest, men det viser seg at jeg ikke hadde det. Og den er ganske sentral! Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 13.07.24. Du kan se videoopptaket her: https://www.linkedin.com/events/vileserc-487-21omhvaduharrettti7217848084129591296/comments/ Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=2016%252F679&docid=273286&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=4063024#ctx1

C-212/13 handler om at når du behandler personopplysninger til «rent personlige eller familiemessige aktiviteter», gjelder ikke personvernlovgivningen. Dette er en dom som belyser hvor langt dette unntaket strekker seg. Saken handlet om overvåkning av en privateiendom var en type personopplysninger som var omfattet av personvernlovgivningen. Overvåkningen hadde som formål å beskytte de privatpersonene som bodde i huset og inkluderte overvåkning av en del av offentlig område. Legg merke til at denne dommen er fra 2014, men er fortsatt relevant ved tolkningen av GDPR fordi GDPR inneholder samme type unntaksbestemmelse. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 14.07.24. Du kan se videoopptaket her: https://www.linkedin.com/events/vileserc-212-13omn-rdusomprivat7218269684616306688/comments/ Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf;jsessionid=FD299B67CEE0AA90E1A9E0CDCD7AF521?text=&docid=160561&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=3546374

C-487/21 handler om hvilke personopplysninger som du plikter å gi den registrerte innsyn i. Spørsmålet var hva det betyr at den behandlingsansvarlige må gi den registrerte en «kopi» slik som beskrevet i GDPR artikkel 15(3). Dette er en dom jeg trodde jeg hadde lest, men det viser seg at jeg ikke hadde det. Og den er ganske sentral! Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 13.07.24. Du kan se videoopptaket her: https://www.linkedin.com/events/vileserc-487-21omhvaduharrettti7217848084129591296/comments/ Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=2016%252F679&docid=273286&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=4063024#ctx1

Den “behandlingsansvarlige” er den som bestemmer formålene med behandlingen av personopplysninger, og hvilke midler som skal brukes (f.eks. hvilken digitale løsning) for å oppfylle disse formålene. Men hvordan blir dette når formålene er pålagt i lov? Denne dommen handler om at offentlige organer kan bli behandlingsansvarlig (og felles behandlingsansvarlige) selv om formålene er pålagt i lov. Hvem som er behandlingsansvarlig kan enten fremgå direkte eller indirekte av loven. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt fredag 10.05.24 kl. 16.00. Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=281142&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=1955925 Du finner videoopptaket fra LinkedIn Live her: https://www.linkedin.com/video/live/urn:li:ugcPost:7194700516319215616/

Faller en muntlig behandling av en personopplysninger inn under GDPR? Ja, sier domstolen. Fordi denne typen behandling KAN oppfylle kravet til å «inngå i et register». GDPR gjelder for «automatisert behandling av personopplysninger», men også for ikke-automatisert behandling når det er behandling som inngår i et register. I en nylig avsagt dom fra EU-domstolen, kom domstolen til at muntlig behandling av personopplysninger kan inngå i et register, og dermed vil GDPR gjelde! Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt torsdag 11.04.24 kl. 16.00. Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=283530&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=137225 Du finner videoopptaket fra LinkedIn Live her: https://www.linkedin.com/events/vileserdommensomsieratmuntligbe7182994634489368576/comments/