Personoplysningsbegrebets krav om, at en fysisk person skal være identificeret eller identificerbar, fortolkes uens i praksis. På baggrund af en indføring i de europæiske tilsynsmyndigheders uens praksis undersøges kravets nærmere indhold. Fokus er rettet mod anvendelsen i europæisk praksis, og det afdækkes, at EU-Domstolens etablerede praksis giver visse pejlemærker for vurderingen af, hvornår en fysisk person kan siges at være identificeret eller identificerbar i GDPR’s forstand.
1. Databeskyttelsesforordningens krav om identifikation – en indføring
Den 25. maj 2018 trådte Databeskyttelsesforordningen11Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).(GDPR) i kraft22. GDPR art. 99, stk. 2. med et formål om at beskytte fysiske personer i forbindelse med behandling af deres personoplysninger.33. GDPR art. 1, stk. 1. GDPR har således til formål at beskytte en delmængde af samfundets informationer, nemlig de, der udgør personoplysninger i GDPR’s forstand. Hvornår en information udgør en personoplysning, og dermed nyder regelsættes beskyttelse, afgøres af fire kumulative betingelser indeholdt i personoplysningsbegrebet, som er defineret i GDPR’s artikel 4, nr. 1. Bestemmelsen definerer personoplysninger som ”enhver form for information om en identificeret eller identificerbar fysisk person”, hvormed en personoplysning er enhver form for information (kravet om information), som er ”om” en person (kravet om relation), der er identificeret eller identificerbar (kravet om identifikation), forudsat personen er en fysisk person (kravet om person).
Generelt kan siges, at GDPR’s beskyttelsesformål aktualiseres, når der består en tilstrækkelig nær forbindelse mellem en fysisk person og en information, idet en nær forbindelse mellem disse som regel fører til, at informationen udgør en personoplysning og derved bliver GDPR’s beskyttelsesobjekt.44. Forudsat personoplysningen behandles elektronisk, eller at personoplysningen er eller vil blive indeholdt i et register, jf. GDPR art. 2, stk. 1. Retten til beskyttelse af personoplysninger afgrænses imidlertid alene til de personer, der er mulige at identificere,55. GDPR pr. 26, 5. pkt. også selvom EU-Domstolen gentagne gange har slået fast, at personoplysningsbegrebet er bredt.66. EU-Domstolens dom af 6. november 2003, C-101/01, pr. 88, dom af 20. maj 2003, i de forenede sager C-465/00, C-138/02 og C-139/01, pr. 43, dom af 7. maj 2009, C-553/07, pr. 59, og dom af 20. december 2017, C-434/16, pr. 33. Det skyldes, at forordningens begreb for en personoplysning ifølge en ordlydsfortolkning kræver, at personen enten er ”identificeret eller identificerbar”,77. GDPR art. 4, nr. 1. hvormed privatlivsbeskyttelsen kræver en vis forbindelse mellem information og person.
I praksis afgrænses personoplysningsbegrebet primært af kravet om identifikation, fordi begrebets øvrige informations-,88. Personoplysningsbegrebet kræver, at en personoplysning er ”enhver form for information” og udgør således et indholdsløst krav, fordi kravet er altomfavnende: informationskravet kræver, at de data, som vurderes, er ”information”, og definerer samtidig alt data som ”information”, jf. Kasper Bjerre Hendrup Andersen, Databeskyttelsesforordningens personoplysningsbegreb, Juristen nr. 6 2023, afsnit 1.2. relations-99. Begrebets krav om relation tester, om informationen er ”om” personen, og dermed om der består en tilpas nær relationen mellem informationen og den fysiske person. Se bl.a. Kasper Bjerre Hendrup Andersen, Personoplysningsbegrebets relationskrav, U.2022B.326. og personkrav1010. Personoplysningsbegrebets personkrav kræver, at informationen kan henføres til en ”fysisk person”, jf. Kasper Bjerre Hendrup Andersen, Databeskyttelsesforordningens personoplysningsbegreb, Juristen nr. 6 2023, afsnit 1.3. ofte er opfyldte, når personen er identificeret eller mulig at identificere. Af den grund anses personoplysningsbegrebets identifikationskrav ofte som afgørende betingelse for, hvornår en information konstituerer en personoplysning, idet personoplysninger jævnligt omtales som ”personhenførbare” informationer,1111. ”En personoplysning er enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. […] Man siger, at oplysningen er ”personhenførbar”.” Datatilsynets hjemmeside (https://www.datatilsynet.dk/hvad-siger-reglerne/grundlaeggende-begreber-/hvad-er-personoplysninger). [tilgået den 3. maj 2023] hvilket jo er udtryk for, at information er en personoplysning, når den er mulig at henføre til en bestemt – og dermed identificeret – person.
Hvornår information er personhenførbar, også kaldet personally identifiable information (PII),1212. Se blandt andet Paul M. Schwartz & Daniel J. Solove, THE PII PROBLEM: PRIVACY AND A NEW CONCEPT OF PERSONALLY IDENTIFIABLE INFORMATION, New York University Law Review, Vol. 86, p. 1814-1894. er imidlertid vanskeligt at fastlægge, jf. straks nedenfor, ligesom en nyligt afsagt dom fra EU-Domstolens første instans (Retten) har kastet fornyet lys på grænserne for identifikationskravet.1313. Rettens dom af 26. april 2023, T-557/20, som blandt andet omtales i Halvor Manshaus og Kaare M. Risung, Hvorvidt data utgjør personopplysninger – terskelen for identifiserbarhet – på vei mot en pragmatisk fortolkning av gdpr, Lov&Data nr. 154 – hefte 2/2023, s. 29. Artiklen har på den baggrund til formål at gøre status over personoplysningsbegrebets krav om identifikation for herigennem at undersøge, hvornår en fysisk person i dag kan siges at være ”identificeret eller identificerbar” i GDPR’s forstand.
1.1. Eksemplifikation: Uens anvendelse af identifikation
Unionens medlemsstater har historisk haft en broget anvendelse af personoplysningsbegrebet og dets identifikationskrav. Det førte til, at Artikel 29-gruppen (Wp29) i 2007 udstedte en vejledning om begrebet, der havde til formål at harmonisere anvendelsen.1414. Artikel 29-gruppens vejledning nr. 4/2007 af 20. juni 2007 om ”the concept of personal data”, WP136, s. 3. 16 år senere fortolkes personoplysningsbegrebets krav om identifikation fortsat uens, endda selvom identifikationskravet ofte er blevet behandlet i litteraturen1515. Se blandt andet Nadezhda Purtova, From knowing by name to targeting: the meaning of identification under the GDPR, International Data Privacy Law, 2022, Vol. 12, No. 3, Peter Davis, Facial Detection and Smart Billboards: Analysing the ‘identified’ Criterion of Personal Data in the GDPR, University of Oslo Faculty of Law Legal Studies Research Paper Series, No. 2020-01, Jean-Philippe Moiny, Are Internet protocol addresses personal data? The fight against online copyright infringement, Computer Law & Security Review 27 (2011), p. 348-361, Alessandro El Khoury, Dynamic IP Adresses Can be Personal Data, Sometimes. A Story of Binary Relations and Schrödinger’s Cat, European Journal of Risk Regulation (EJRR) 8, no. 1 (March 2017), p. 191-197, Manon Oostveen, Identifiability and the applicability of data protection to big data, International Data Privacy Law, 2016, Vol. 6, No. 4, p. 299-309, Samson Yoseph Esayas, The role of anonymisation and pseudonymisation under the EU data privacy rules: beyond the ‘all or nothing’ approach, European Journal of Law and Technology Vol 6, No 2 (2015), Nadezhda Purtova, The law of everything. Broad concept of personal data and future of EU data protection law, Law, Innovation and Technology, 2018, Vol. 10, No. 1, 40–81, og Paul M. Schwartz & Daniel J. Solove, THE PII PROBLEM: PRIVACY AND A NEW CONCEPT OF PERSONALLY IDENTIFIABLE INFORMATION, New York University Law Review, Vol. 86, p. 1814-1894. og europæisk praksis.1616. Se EU-Domstolens domme i de forenede sager C-465/00, C-138/01 og C-139/01, og C-101/01, C-524/06, C-275/06, C-553/07, C-73/07, C-70/10, C-342/12, C-212/13, C-201/14, C-582/14, C-434/16, C-73/16, C-496/17 og Rettens domme i sagerne T-300/10, T-384/20 og T-557/20.
1.1.1. Forebyggende temperaturmåling mod COVID-19-smitte
Den uens fortolkning af identifikationskravet kommer til udtryk ved medlemsstaternes vurdering af, om brug af termisk kamera og termometer for at foretage en indledende screening af, hvorvidt en person er smittet med COVID-19, er en behandling af personoplysninger i GDPR’s forstand.
I Belgien har datatilsynet APD/GBA i to sager vurderet, at der skete behandling af personoplysninger1717. APD/GBA’s afgørelse af 4. april 2022 mod Brussels South Charleroi Airport, j.nr. 47/2022 og APD/GBA’s afgørelse af 4. april 2022 mod Brussels Airport Company SA og Ambuce Rescue Team SA, j.nr. 48/2022. ved brug af installerede termiske kameraer i lufthavne, hvortil var knyttet software, som adviserede lufthavspersonalet ved målinger over 38 grader med billede af den pågældende person. Undtagelsesvist fandt APD/GBA i den ene sag, at den derpå følgende kontrolmåling med et manuelt termometer (måling uden billede og anamnese) ikke udgjorde vedkommendes personoplysninger.1818. APD/GBA’s afgørelse af 4. april 2022 mod Brussels South Charleroi Airport, j.nr. 47/2022, pkt. 55. Begge (bøde)sager blev indbragt for den belgiske appeldomstol i Bruxelles, hvor kravet om identifikation ikke blev problematiseret.1919. Den belgiske appeldomstol i Bruxelles dom af 7. december 2022, j.nr. 2022/AR/556, og dom af 7. december 2022, j.nr. 2022/AR/560 og 2022/AR/564. I Frankrig nåede den franske Højesteret et modsat resultat, idet præventive temperaturmålinger for COVID-19-smitte foretaget med manuelle termiske kameraer uden hukommelse på blandt andet skoler i kommunen Lisses blev anset for at være personoplysninger på grund af, at den enkelte temperaturmåling var tilstrækkelig præcis til at kunne identificere den pågældende person og på grund af konteksten, som temperaturmålingen blev foretaget i – eleven eller medarbejderen blev sendt hjem ved for høj temperatur.2020. Den franske Højesterets dom af 26. juni 2020, j.nr. N° 441065, pkt. 22. CNIL, det franske datatilsyn, har efter dommen imidlertid ikke valgt at ændre sin vejledende tekst herom på sin hjemmeside, der er overensstemmende med APD/GBA’s undtagelse, og hvoraf fremgår, at den blotte kontrol af temperaturen ved hjælp af et manuelt termometer eller andet apparat uden registrering eller overførsel af informationer ikke udgør behandling af personoplysninger.2121. ”Ainsi, la seule vérification de la température au moyen d’un thermomètre manuel ou d’un dispositif ne conduisant pas à traiter des données à caractère personnel (tel que par exemple des outils de type infrarouge sans contact) sans remontée d’information ou constitution d’un fichier, ne relève pas de la règlementation en matière de protection des données.” CNIL’s hjemmeside (https://www.cnil.fr/fr/covid-19-questions-reponses-sur-la-collecte-de-donnees-personnelles-sur-le-lieu-de-travail). [tilgået den 19. juni 2023] Det spanske datatilsyn AEPD har overensstemmende med CNIL vurderet i to sager, at tilsvarende COVID-19-temperaturmålinger ikke udgjorde personoplysninger, da identiteten på henholdsvis metropassager og kunder/medarbejdere i stormagasiner ikke blev kontrolleret, og der ikke skete registrering af den målte temperatur.2222. AEPD’s afgørelse af 25. maj 2021 mod Metro Bilbao, S.A., j.nr. E/03884/2020, s. 16, og AEPD’s afgørelse af 25. maj 2021 mod El Corte Inglés, j.nr. E703882/2020, s. 17-18. I Holland har den nationale tilsynsmyndighed AP nået et andet resultat, da enhver temperaturmåling, som foretages automatiseret, fx ved brug af et termisk kamera, og/eller hvor målingen registres, er en behandling af personoplysninger, uanset at der ikke foretages identitetskontrol.2323. ”Wanneer geldt de AVG niet? De AVG geldt niet als u de temperatuur alleen afleest. Maar alleen als u daarbij aan 3 voorwaarden voldoet:–U mag de temperatuur niet opnemen in een bestand, zoals een Excellijst met namen en de gemeten temperaturen. – De meting mag niet geautomatiseerd plaatsvinden, zoals bij een warmtecamera.– De verwerking mag geen geautomatiseerd gevolg hebben. Bijvoorbeeld poortjes die automatisch openen of een licht dat automatisch op groen gaat als de temperatuur niet te hoog is. Voldoet u niet aan deze 3 voorwaarden? Dan geldt de AVG wél. En mag u dus niet zomaar lichaamstemperatuur meten.” AP’s hjemmeside (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/corona/temperaturen-tijdens-corona#waarom-valt-temperaturen-als-toegangscontrole-meestal-onder-de-avg-7741). [tilgået den 19. juni 2023]
1.1.2. Ansigtsgenkendelse anvendt i intelligente reklametavler
Medlemsstaterne har også en uens fortolkning af identifikationskravet ved vurdering af ansigtsgenkendelse anvendt i intelligente reklametavler. I dag giver den teknologiske udvikling indenfor reklametavler mulighed for at fremvise skræddersyede reklamer på baggrund af en persons ansigtstræk, fordi personen klassificeres i kategorier bestående af fx køn og alder. Den klassificering er mulig, da de intelligente reklametavler anvender teknologi til ansigtsgenkendelse, som i modsætning til traditionel ansigtsgenkendelse hurtigt sletter eller anonymiserer personens ansigtstræk, hvilket gør det problematisk at fastlægge, om GDPR finder anvendelse. Fx betragter det hollandske datatilsyn AP aktiviteten for en behandling af personoplysninger i modsætning til det irske datatilsyn DPC og tyske datatilsyn BayLDA.2424. Nadezhda Purtova, From knowing by name to targeting: the meaning of identification under the GDPR, International Data Privacy Law, 2022, Vol. 12, No. 3, p. 164, og Peter Davis, Facial Detection and Smart Billboards: Analysing the ‘identified’ Criterion of Personal Data in the GDPR, University of Oslo Faculty of Law Legal Studies Research Paper Series, No. 2020-01, p. 9.
1.1.3. Wp29’s uklar afgrænsning af kravet om identifikation
Som nævnt var formålet med Wp29’s uforbindende vejledning om personoplysningsbegrebet at harmonisere anvendelsen af begrebet.2525. Artikel 29-gruppens vejledning nr. 4/2007 af 20. juni 2007 om ”the concept of personal data”, WP136, s. 3. Imidlertid rummer selvsamme vejledning en uklar afgrænsning af identifikationskravet.
I vejledningen anser Wp29 en person ”som "identificeret", når den pågældende inden for en gruppe af personer kan "skelnes" fra alle de andre medlemmer af gruppen”.2626. Ibid, s. 12. Den definition sætter en vis ramme for, hvilke informationer som konstituerer personoplysninger i GDPR’s forstand, men Wp29 er ikke konsekvent i brugen heraf, eftersom gruppen i samme vejledning anser materiale hidrørende fra videoovervågning for personoplysninger, ”selv om nogle af de personer, som er blevet optaget, ikke er identificerbare i praksis”.2727. Ibid, eksempel 14 på s. 16. Wp29 sætter dermed formålet med behandlingen over identifikationskravet forstået på den måde, at når formålet er at behandle informationer om identificerede personer, omfattes aktiviteten i sin helhed af GDPR, uanset om alene et fåtal af de overvågede personer er mulige at identificere i praksis. Wp29’s eksempel med videoovervågning harmonerer desuden ikke med gruppens konkluderende bemærkninger i vejledningen, hvoraf fremgår, at identifikationskravet (sammen med kravet om information, relation og person) ”afgør”, om en oplysning skal betragtning som en personoplysning.2828. Ibid, s. 26. EU-Domstolen har senere bekræftet, at materiale fra videoovervågning alene er personoplysninger, hvis det er muligt at identificere de overvågede personer.2929. EU-Domstolens dom af 11. december 2014, C-212-13, pr. 21-22.
1.1.4. Datatilsynets mor-princip
Ifølge Datatilsynet skal der ”ekstremt lidt til”, førend en information kan henføres til en person.3030. Datatilsynets podcast om ”Hvad er personoplysninger”. (https://www.datatilsynet.dk/hvad-siger-reglerne/podcast/hvad-er-personoplysninger) [tilgået den 19. juni 2023] Det skyldes tilsynets betragtning om, at der kan benyttes et mor-princip til afklaringen af, om en person er identificerbar.3131. Datatilsynets podcast om ”Hvad er personoplysninger”. (https://www.datatilsynet.dk/hvad-siger-reglerne/podcast/hvad-er-personoplysninger) [tilgået den 19. juni 2023] Mor-princippet indebærer, at hvis en mor kan genkende sit barn fx ud fra et nærbillede af et øre, er billedet en personoplysning i GDPR’s forstand, fordi personen er mulig at identificere. Datatilsynet udfylder derved den uafgrænsede identifikationstest med et uafgrænset, subjektivt princip, da mødre naturligvis ikke er ens forstået på den måde, at relationen mellem en mor og hendes barn i sagens natur er forskellig. Nogle mødre har et indgående kendskab til deres børn, andre ikke.
Datatilsynets hensigt med introduktion af mor-princippet er formentlig at etablere en praktisk anvendelig målestok for identifikationstesten, der er mulig at anvende for enhver, hvor det centrale er, at den bedømte information kan siges at være personhenførbar, når en person med forudgående og indgående kendskab til den pågældende, som vurderes identificerbar, kan identificere denne ud fra informationen. Et sådant mor-princip sætter en lav tærskel for, hvornår en person er identificerbar, fx da tilsynet ikke samtidig konkretiserer, at princippet alene er anvendeligt for de informationer, som en mor har mulighed for at få kendskab til fx ved offentliggjorte informationer. Desuden er det en tilgang, der i visse tilfælde leder til forkerte resultater, fordi selv ikke en mor genkender sit barn ud fra en dynamisk IP-adresse.3232. EU-Domstolen har slået fast, at en dynamisk IP-adresse er en personoplysning, jf. domstolens dom af 19. oktober 2016, C-582/14, pr. 49.
1.1.5. Opsummering af eksemplifikation
Den uens afgrænsning af identifikationskravet blandt medlemsstaterne, Wp29 og Datatilsynet viser behovet for en normpræcisering af identifikationskravet, hvortil ikke kan udelukkes, at dele af de brogede afgrænsninger af kravet betragtes som et muligt fortolkningsbidrag af GDPR's pligt- og rettighedssubjekter, når disse søger et ”her-og-nu”-svar på en uafklaret databeskyttelsesretlig problemstilling.3333. Kasper Bjerre Hendrup Andersen, En fælles databeskyttelsesret?, U.2023B.51, afsnit 3. Fx argumenterer industrien, der udvikler, sælger og installerer de intelligente reklametavler (nævnt ovenfor), at ansigtsgenkendelsen ikke indebærer en behandling af personoplysninger.3434. ”Using scientifically sound and highly efficient AI algorithms, the software library SHORE® offers anonymized analysis and evaluation of faces”, jf. Fraunhofer Institute for Integrated Circuits IIS’s hjemmeside (https://www.iis.fraunhofer.de/en/ff/sse/affective-computing/facial-analysis-solutions.html). [tilgået den 19. juni 2023] Den manglende præcisering af kravet er dermed problematisk for den privatlivsbeskyttelse, der er forsøgt opnået ved GDPR.
2. GDPR’s identifikationskrav
Som nævnt stiller GDPR’s personoplysningsbegreb krav om, at personen er ”identificeret eller identificerbar”, hvor udtrykkene i de forskellige officielle sprogversioner af GDPR ikke leder til en nærmere afklaring.3535. Se blandt andet den engelske sprogversion af GDPR, hvori en personoplysning defineres som ”any information relating to an identified or identifiable natural person”, den tyske sprogversion ”alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person”, den spanske sprogversion ”toda información sobre una persona física identificada o identificable”, den franske sprogversion ”toute information se rapportant à une personne physique identifiée ou identifiable”, den italienske sprogversion ”qualsiasi informazione riguardante una persona fisica identificata o identificabile”, den polske sprogversion ”oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”, den hollandske sprogversion ”alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”, den portugisiske sprogversion ”informação relativa a uma pessoa singular identificada ou identificável” og den svenske sprogversion ”varje upplysning som avser en identifierad eller identifierbar fysisk person”, som alle harmonerer med den danske sprogversion. Per definition skal information klassificeres som personoplysninger, når personen er mulig at identificere, også selvom denne endnu ikke er identificeret.
Vurderingen af, hvornår en person er mulig at identificere, er nærmere præciseret i GDPR; udtrykket ”identificerbar” skal forstås som en person, der ”direkte eller indirekte kan identificeres, navnlig ved en identifikator som fx et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet”.3636. GDPR art. 4, nr. 1. GDPR forudsætter dermed ikke, at en information i sig selv kan identificere en fysisk person, eftersom denne kan identificeres gennem brug af supplerende information, fx onlineidentifikatorer, såsom IP-adresser,3737. EU-Domstolen har slået fast, at en dynamisk IP-adresse er en personoplysning, jf. domstolens dom af 19. oktober 2016, C-582/14, pr. 49. RFID og cookieidentifikatorer.3838. GDPR pr. 30.
Omfanget af, hvilke identifikatorer der skal inddrages i vurderingen af, om en information kan siges at udgøre en personoplysning, afhænger af en identifikationstest,3939. Kasper Bjerre Hendrup Andersen, Databeskyttelsesforordningens personoplysningsbegreb, Juristen nr. 6 2023, figur 1. der i henhold til forordningens præambelbetragtning nr. 26 foretages ud fra, hvilke midler som med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden, og hvor alle objektive forhold bør tages i betragtning ved vurderingen af, hvad der udgør et rimeligt middel.4040. GDPR pr. 26. Identifikationstesten kræver dermed ikke, at enhver information, der muliggør identifikation af den registrerede, er samlet hos den dataansvarlige, fordi identifikatorer, der behandles af en anden person (tredjemand), skal tages i betragtning, når den dataansvarlige med rimelighed kan tænkes at bringe disse identifikatorer i anvendelse til at foretage identifikation af personen nu eller i fremtiden. Generelt kan således udledes, at Europa-Parlamentet og Rådet vedrørende GDPR’s krav om identifikation har valgt en fleksibel tilgang.4141. Lee A. Bygrave and Luca Tosoni, The EU General Data Protection Regulation (GDPR) A Commentary, 1. Edition, 2020, p. 110.
2.1. Identifikation som definitionsløst begreb
GDPR’s legaldefinition for, hvad der udgør en personoplysning, definerer ikke, hvad der skal forstås ved identifikation, fordi regelsættet ikke sætter grænserne for udtrykkene ”identificeret” eller ”identificerbar”. Fx giver GDPR ikke en udtømmende liste på identifikatorer.4242. GDPR art. 4, nr. 1 og pr. 30.
Udtrykket ”identificerbar” henviser ganske åbenlyst til muligheden for, at en person kan blive identificeret, men definerer ikke klart, hvornår en person bliver dette.4343. Nadezhda Purtova, From knowing by name to targeting: the meaning of identification under the GDPR, International Data Privacy Law, 2022, Vol. 12, No. 3, p. 173. Udtrykkene, der sætter udefinerede grænser for identifikationskravet, er naturligvis et nødvendigt middel for at sikre GDPR’s hensigt med en teknologineutral beskyttelse af fysiske personer4444. GDPR pr. 15, 1. pkt., og pr. 26, hvoraf fremgår, at identifikationstesten skal foretages under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling. og beskytte mod omgåelse, men tilslører samtidig, hvornår fysiske personer beskyttes af GDPR, og i særdeleshed hvilke personer som beskyttes.
En måde at afgrænse personoplysningsbegrebet på, herunder identifikationskravet, er ved at sammenholde begrebet med de informationer, som falder udenfor begrebet, kaldet anonyme oplysninger. GDPR definerer anonyme oplysninger, som oplysninger, ”der ikke vedrører en identificeret eller identificerbar fysisk person, eller for personoplysninger som er gjort anonyme på en sådan måde, at Databeskyttelsesprincipperne bør derfor ikke gælde for anonyme oplysninger, dvs. oplysninger, der ikke vedrører en identificeret eller identificerbar fysisk person, eller for personoplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke eller ikke længere kan identificeres”.4545. GDPR pr. 26, 5. pkt. Definitionen for anonyme oplysninger baseres imidlertid på de samme udtryk som identifikationskravet (”identificeret”, ”identificerbar” og ”identificeres”), uden at disse udtryk konkretiseres nærmere. GDPR’s definition for anonyme oplysninger er dermed ingen hjælp ved fastlæggelsen af personoplysningsbegrebets krav om identifikation. Tilsvarende for GDPR’s legaldefinition for pseudonymiserede oplysninger.4646. GDPR art. 4, nr. 5.
Fraværet af en databeskyttelsesretlig identifikationsdefinition har den konsekvens, at det er uklart, om der kræves, at en person skal kunne udpeges fra andre,4747. Det fremgår imidlertid af den engelske sprogversion af GDPR, at identifikation kan ske ved ”singling out” en person, jf. pr. 26, 3. pkt. eller om personen kan indgå i en mindre gruppe og fortsat nyde privatlivsbeskyttelse. Under registerlovene4848. Lov nr. 293 af 8. juni 1978 om private registre m.v. og Lov nr. 294 af 8. juni 1978 om offentlige myndigheders registre. blev det fx anset for tilstrækkeligt, når en persons navn indgik i et register, selvom der forelå forvekslingsmulighed med andre personer af samme navn.4949. Peter Blume, Personregistrering, 2. udgave, 1992, s. 29. Følgevirkningen af den definitionsmæssige uklarhed illustreres på den ene side ved en afgørelse afsagt af det belgiske datatilsyn APD/GBA, der vurderede, at en tidligere medarbejders arbejdsmail, der, efter vedkommendes fratrædelse, blev tilgået af flere andre personer som en fælles funktionsmail, ikke var dennes personoplysninger, idet den tidligere medarbejder ikke længere fandtes identificerbar.5050. APD/GBA’s afgørelse af 3. april 2023, j.nr. DOS-2022-01387, pkt. 35. På den anden side har den øverste forvaltningsdomstol i Bayern vurderet, at forbrugsdata hidrørende fra en lejlighed eller anden bygningsenhed, der bruges af flere personer i erhvervsøjemed (arkitektkontor), udgør personoplysninger, idet det kan være muligt at drage konklusioner om en enkeltpersons forbrugsvaner med kun lidt yderligere viden.5151. Bayerns øverste forvaltningsdomstols dom af 27. september 2022, j.nr. 4 BV 21.2328, pkt. 31.
3. EU-Domstolens praksis: fra uafklaret til restriktiv fortolkning af identifikation
Som nævnt har Europa-Parlamentet og Rådet valgt en fleksibel tilgang for GDPR’s krav om identifikation, der i lyset af EU-Domstolens, herunder Retten, nyere praksis kan siges at være overgået fra en uafklaret til en restriktiv fortolkning af kravet, jf. straks nedenfor.
Allerede i 2003 tog EU-Domstolen stilling til personoplysningsbegrebet og dets krav om identifikation5252. EU-Domstolens dom af 20. maj 2003 i de forenede sager C-465/00, C-138/01 og C-139-01 og EU-Domstolens dom af 6. november 2003, C-101/01. og har efterfølgende haft lejlighed til at afgrænse identifikationskravet flere gange. EU-Domstolen har imidlertid ikke benyttet disse muligheder til at nuancere kravet, fordi domstolen i hovedparten af sagerne blot fastslår, om den bedømte information er en personoplysning uden nærmere forklaring eller diskussion. Det skyldes, at EU-Domstolen generelt har baseret sin vurdering på, at anvendelsesområdet for databeskyttelsesdirektivet5353. Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. (GDPR’s forgænger) er meget bredt,5454. EU-Domstolens dom af 20. maj 2003 i de forenede sager C-465/00, C-138/01 og C-139-01, pr. 43, dom af 6. november 2003, C-101/01, pr. 88 og dom af 7. maj 2009, C-553/07, pr. 59. at personoplysninger er meget forskellige5555. EU-Domstolens dom af 7. maj 2009, C-553/07, pr. 59. og under henvisning til legaldefinitionen for en personoplysning.5656. EU-Domstolens dom af 20. maj 2003 i den forenede sager C-465/00, C-138/01 og C-139-01, pr. 64, dom af 6. november 2003, C-101/01, pr. 24, dom af 29. januar 2008, dom af 16. december 2008, C-524/06, pr. 43, dom af 16. december 2008, C-73/07, pr. 35, Rettens dom af 22. maj 2012, T-300/10, pr. 114, C-275/06, pr. 45, EU-Domstolens dom af 30. maj 2013, C-342/12, pr. 22, dom af 11. december 2014, C-212/13, pr. 21 og dom af 1. oktober 2015, C-201/14, pr. 29.
Den udeblevne forklaring og diskussion af identifikationskravet i EU-Domstolens ældre praksis (2003-2016) kan formentlig forklares med, at de faktuelle omstændigheder i de forelagte sager – i hvert fald i dag – tydeligt falder indenfor personoplysningsbegrebet, fordi de bedømte informationer identificerer de pågældende personer. Således har EU-Domstolen udtrykkeligt slået fast, at en lønmodtager er identificerbar ud fra dennes lønoplysninger,5757. EU-Domstolens dom af 20. maj 2003 i de forenede sager C-465/00, C-138/01 og C-139-01, pr. 64. lige så ved offentliggjorte lønoplysninger indenfor 100 EUR’s nøjagtighed, idet informationen blev offentliggjort sammen med personens for- og efternavn.5858. EU-Domstolens dom af 16. december 2008, C-73/07, pr. 35. Tilsvarende for et arbejdstidsregister for den enkelte medarbejder, der indeholder angivelsen af tidspunkterne for arbejdsdagens påbegyndelse og afslutning samt eventuelle afbrydelser eller pauser,5959. EU-Domstolens dom af 30. maj 2013, C-342/12, pr. 22. og registre over udlændinge indeholdende informationer såsom for- og efternavn, fødselsdato og -sted, statsborgerskab, civilstand, køn og pasoplysninger.6060. EU-Domstolens dom af 16. december 2008, C-524/06, pr. 43. Endvidere for navne og adresser på brugere af internetprogrammer,6161. EU-Domstolens dom af 29. januar 2008, C-275/06, pr. 45. besvarelse af en faglig prøve6262. EU-Domstolens dom af 20. december 2017, C-434/16, pr. 29-31. og for offentliggjorte informationer om en personens navn sammen med oplysninger om dennes telefonnummer eller oplysninger vedrørende dennes arbejdsforhold eller fritidsinteresser.6363. EU-Domstolens dom af 6. november 2003, C-101/01, pr. 27.
På baggrund af ovenfor anførte betragtninger fremtræder den ældre praksis fra EU-Domstolen, og i visse tilfælde nyere praksis,6464. EU-Domstolens dom af 27. september 2017, C-73/16, pr. 33, dom af 20. december 2017, C-434/16, pr. 28-29, og dom af 16. januar 2019, C-496/17, pr. 53 og 56. vedrørende identifikationskravet ikke præciseret. Fx har domstolen slået fast, at en IP-adresse er en personoplysning, fordi en sådan adresse gør det muligt ”præcist at identificere” computerbrugeren.6565. EU-Domstolens dom af 24. november 2011, C-70/10, pr. 51. Det er imidlertid uklart, om identifikationen er sket som følge af, at brugeren er ”identificeret” eller ”identificerbar”: Brugeren bag en IP-adresse kan på den ene side siges at være identificeret, eller på den anden side at en IP-adresse er en identifikator, som medfører, at brugeren er identificerbar.6666. Peter Davis, Facial Detection and Smart Billboards: Analysing the ‘identified’ Criterion of Personal Data in the GDPR, University of Oslo Faculty of Law Legal Studies Research Paper Series, No. 2020-01, s. 17.
3.1. Breyer-sagen: Overgangen til restriktiv fortolkning
I sagen Patrick Breyer mod Bundesrepublik Deutschland (Breyer-sagen)6767. EU-Domstolens dom af 19. oktober 2016, C-582/14. præciserede EU-Domstolen kravet om identifikation, idet domstolen gav en detaljeret analyse af, hvordan kravet skal fortolkes. Sagen drejede sig om, hvorvidt Breyer var identificerbar, når en udbyder af en onlinemedietjeneste behandlede information om hans dynamiske IP-adresse,6868. En dynamisk IP-adresse er en midlertidig adresse, der tildeles ved hver tilslutning til internettet og erstattes ved senere tilslutninger, hvormed en statisk IP-adresse er en uforanderlig adresse, som gør det muligt permanent at identificere den enhed, der er tilsluttet internettet, jf. pr. 36 i Breyer-sagen. datoen og tidspunktet for hans søgning på dennes internetside, og disse informationer alene kunne henføres til Breyer ved brug af yderligere viden, der var i hans internetudbyders (tredjemands) besiddelse.
EU-Domstolen slog indledningsvist fast, at det er almindeligt anerkendt (den engelske sprogversion af dommen: ”it is common ground”), at en dynamisk IP-adresse ikke er en information, der vedrører en identificeret person, fordi adressen ikke direkte afslører identiteten på ejeren af computeren eller den person, der anvender denne.6969. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 38. Dermed udelukker domstolen muligheden for, at en person er ”identificeret” på grundlag af en onlineidentifikator, da IP-adressen ikke gør det muligt at identificere Breyer direkte, selvom formålet med en IP-adresse jo er at skelne en hjemmesidebesøgende fra en anden.
EU-Domstolen kan dermed siges at gøre brug af en restriktiv tilgang ved fortolkningen af, hvornår en person er identificeret,7070. Peter Davis, Facial Detection and Smart Billboards: Analysing the ‘identified’ Criterion of Personal Data in the GDPR, University of Oslo Faculty of Law Legal Studies Research Paper Series, No. 2020-01, s. 17. eftersom ”identificeret” afgrænses fra at være til stede ved ekstern opslagsidentifikation (når identifikation sker ved hjælp af eksterne unikke identifikatorer, der forbinder til en persons identitet). Fx vil udstedelse af en parkeringsafgift, hvor der behandles den pågældende bils nummerplade, ikke indebærer, at ejeren er ”identificeret”, fordi identifikationen forudsætter opslag i motorregistret eller tilsvarende register. I lyset af den fortolkning kan selv en persons navn, CPR-nr., pasnummer, adresse eller telefonnummer heller ikke føre til, at personen er identificeret, når disse informationer ikke direkte er forbundet til personens identitet ”i den virkelige verden”, men kræver brug af supplerende identifikatorer for entydig identifikation. Betydningen af, hvornår en person kan anses identificeret, reduceres således betragteligt, da udtrykket implicit kræver, at den dataansvarlige på baggrund selv er i stand til at forbinde informationen til personens identitet.
I Breyer-sagen var det afgørende, om Breyer kunne siges at være ”identificerbar”. Domstolen bemærkede i den henseende, at vurderingen ikke kræver, at alle informationer, der gør det muligt at identificere, skal befinde sig hos udbyderen af onlinemedietjenesten.7171. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 43. Den yderligere viden, som var i internetudbyderens besiddelse, skulle dermed vurderes om var et hjælpemiddel, der med rimelighed kunne tænkes bragt i anvendelse for at identificere Breyer.7272. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 45. EU-Domstolen fastslog endvidere, at den supplerende viden hos internetudbyderen alene skulle tages i betragtning, hvis den, der søger informationen med henblik på identifikation, med rimelighed kan siges at ville henvende sig til denne, hvilket ikke er tilfældet, når kontakten i praksis er uigennemførlig, fx på grund af, at det vil kræve en større indsats i tid, omkostninger og arbejde, eller er ulovlig, således at risikoen for identificering i virkelighed synes ubetydelig.7373. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 46, jf. generaladvokatens forslag til afgørelse af den 12. maj 2016, pr. 68.
EU-Domstolen konkluderende, at udbyderen af online-medietjenesten i henhold til tysk ret havde adgang til den supplerende viden hos internetudbyderen, idet der var lovlige veje for udbyderen i tilfælde af angreb på netværk at henvende sig til den kompetente myndighed, for at denne kan tage de nødvendige skridt for at opnå disse oplysninger hos internetudbyderen og for at foranledige strafferetlig forfølgning. Udbyderen af online-medietjenesten rådede dermed over hjælpemidler, der med rimelighed kunne tænkes bragt i anvendelse for ved hjælp af andre at identificere Breyer på grundlag af den dynamiske IP-adresse.7474. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 47-49. Tilsvarende resultat nåede EU-Domstolen frem til i sagen Mircom International Content Mangement & Consulting (M.I.C.M.) Limited mod Telenet BVDA (Mircom-sagen).7575. EU-Domstolens dom af 17. juni 2021, C-597/19, pr. 102.
EU-Domstolen kan på den ene side siges at fortolke udtrykket ”identificerbar” bredt,7676. Kristian Korfits Nielsen og Anders Lotterup, Databeskyttelsesforordningen og databeskyttelsesloven med kommentarer, 1. udgave, 1. oplag, 2020, s. 242, og Nadezhda Purtova, From knowing by name to targeting: the meaning of identification under the GDPR, International Data Privacy Law, 2022, Vol. 12, No. 3, p. 178. fordi domstolen ikke i forbindelse med vurderingen inddrog, om der konkret var behov for at afværge ”angreb” eller ”foranledige strafferetlig forfølgning”. Den dynamiske IP-adresse, datoen og tidspunktet for søgningen på internetsiden var dermed personoplysninger om Breyer allerede på indsamlingstidspunktet, fordi udbyderen havde rimelige midler til at få identificeret ham. Samtidig sætter EU-Domstolen en lav tærskel for, hvornår den dataansvarlige med rimelighed kan anses for at henvende sig til en anden person med henblik på at foretage identifikation.
På den anden side kan domstolen siges at indskrænke muligheden for identifikation, idet udtrykket ”rimelige hjælpemidler” ikke vurderes objektivt, men subjektivt, dvs. ud fra de konkrete omstændigheder for den, der søger den supplerende viden hos tredjemand med henblik på at foretage (gen)identifikation. Ifølge dommens præmisser kan en dataansvarligs behandling af personoplysninger dermed overgå til at være ikke-personoplysninger, når de overlades/videregives til andre, hvis modtageren af informationen ikke konkret har lovlige veje til supplerende viden hos andre, fx hos den afgivende dataansvarlige, og hvor det vil kræve en større menneskelig eller økonomisk indsats at foretage identifikation. I praksis har Microsoft og Amazons kunder fx mulighed for at kryptere deres data in transit og data at rest i realtid samtidig med, at disse er de eneste med adgang til krypteringsnøglen. Når det vurderes, om henholdsvis Microsoft og Amazon med rimelighed kan forventes at (gen)identificere personerne, vil GDPR i lyset af dommens præmisser ikke finde anvendelse, fordi identifikation er praktisk ugennemførlig, ligesom de i medfør af databehandleraftalen som regel ikke har en lovlig vej til at kunne genidentificere personerne på grundlag af krypteringsnøglen, der jo kun befinder sig hos deres kunder. Hvis den fortolkning af GDPR’s krav om identifikation følges, fjernes udfordringerne med overførsel til usikre tredjelande, eftersom overførslen ikke falder indenfor GDPR’s materielle anvendelsesområde. Imidlertid anser EDPB overførsel af pseudonymiserede informationer til en modtager i et usikkert tredjeland for at udgøre en effektiv supplerende foranstaltning, sådan at GDPR finder anvendelse med den følge, at regelsættets kapitel V om tredjelandsoverførsler skal iagttages.7777. EDPB’s henstilling nr. 01/2020 om foranstaltninger, der supplerer overførselsværktøjer for at sikre overholdelse af EU-niveau for beskyttelse af personoplysninger af 18. juni 2018, version 2.0, s. 33: ”Brugstilfælde 2: Overførsel af pseudonymiserede data”. En henstilling, EDPB har vedtaget på baggrund af EU-Domstolens præmisser i Schrems II-sagen.7878. EU-Domstolens dom af 16. juli 2020, C-311/18, pr. 133-135.
Ifølge EU-Domstolen er en IP-adresse registreret i forbindelse med en søgning foretaget på en hjemmeside en personoplysning, når udbyderen af hjemmesiden råder over lovlige hjælpemidler, der gør det muligt at få identificeret personen gennem den yderligere viden, som personens internetudbyder råder over.7979. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 49. En internetudbyder bør imidlertid kun behandle identificerende informationer om kunden, der betaler for internetforbindelsen (internetudbyderens aftalepart), og bør således hverken råde over information om, hvem der ejer de enheder, der bruges til at tilgå internettet via forbindelsen, eller hvem der faktisk benytter enheden til at gå på internettet. Domstolen opstiller derved en (lav)praktisk formodningsregel, hvormed den betalingspligtige for internetforbindelsen samtidig anses for at være den, der udviser adfærden på en given hjemmeside.
Imidlertid foreligger der sjældent en så entydig sammenhæng mellem enhed og person, at den egentlige person, som foretager en internetsøgning, faktisk er den, som udøver adfærden. Fx ved bibliotekscomputere, der er frit tilgængelige for bibliotekets besøgende, gæster, som midlertidig benytter ens internetforbindelse, fælles arbejdsenheder, som bruges af flere personer uden brugerstyring, husstande, hvor der bor flere sammen, men hvor alene én i husstanden er registreret kunde hos internetudbyderen, arbejdsgiverbetalt internetforbindelse og korttidsudlejning- og fremlejeforhold.8080. Se blandt andet Peter Blume, Persondata i relation til ting, U.2011B.253.
Formodningsreglen centrerer dermed privatlivsbeskyttelsen om de personer, der er part i en aftale, fremfor de, som faktisk udøver adfærden, som den pågældende aftale muliggør. Privatlivsbeskyttelsen skævvrides derved, fordi de andre personers informationer anses for at tilhøre den person, der har indgået aftalen, og som alene opnår databeskyttelsesretlig beskyttelse.
3.2. OC-sagen (anket): Rettens restriktive præcisering af identifikationstesten
EU-Domstolens første instans, Retten, skulle i sagen OC mod Europa-Kommissionen8181. Rettens dom af 4. maj 2022, T-384/20. tage stilling til, om identifikationskravet i personoplysningsbegrebet indeholdt i artikel 3, stk. 1, i forordning 2018/1725,8282. Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF. var opfyldt. Et begreb, der svarer til GDPR’s personoplysningsbegreb,8383. Forordning 2018/1725 art. 3, stk. 1. og som skal fortolkes i overensstemmelse hermed.8484. Forordning 2018/1725 pr. 5 og Rettens dom af 26. april 2023, T-557/20, pr. 88. Dommen har dermed indirekte relevans for afgrænsningen af GDPR’s krav om identifikation, men begrænset da dommen er appelleret med påstand om blandt andet fejlagtig fortolkning af begrebet ”identificerbar” fysisk person.8585. Appel iværksat den 14. juli 2022 af OC til prøvelse af dom afsagt af Retten (Niende Afdeling) den 4. maj 2022 i sag T-384/20, OC mod Kommissionen (Sag C-479/22 P). Imidlertid er OC-sagen (og SRB-sagen) relevant at fremhæve, idet Retten præciserer kravet om identifikation anderledes end EU-Domstolen.
Sagen omhandlede, en pressemeddelelse udstedt af Det Europæiske Kontor for Bekæmpelse af Svig (OLAF) skulle anses for at indeholde personoplysninger, da den drejede sig om en universitetsforsker (OC), der var blevet afsløret i at have svindlet med EU-støtte, og indeholdt flere karakteristika ved forskeren; nationalitet, køn, forsknings- og svindelbeløbets størrelse og det faktum, at forskerens far arbejdede på samme universitet.
Retten lagde til grund, at læserne af pressemeddelelsen på grundlag af viden om forskerens køn og størrelsen på EU-støtten, der fremgik af meddelelsen, var i stand til at afgrænse til tre finansierede projekter ved brug af offentligt tilgængelige informationer om støttede projekter på Forvaltningsorganet for Det Europæiske Forskningsråds (ERCEA) hjemmeside. Sikker identifikation af forskeren krævede derudover en individuel søgemaskinesøgning efter hver af de tre forskningsansvarlige. Imidlertid fandt Retten, at denne identifikationsproces ville gøre det nødvendigt at mobilisere ressourcer, der ikke med rimelighed kunne forventes at blive brugt af en læser, og at resultaterne af internetsøgningen ikke med rimelighed kunne scannes indenfor højst fem minutter, som påstået af forskeren.8686. Rettens dom af 4. maj 2022, T-384/20, pr. 70-73.
Ifølge forordning 2018/1725 (og GDPR) skal alle objektive forhold tages i betragtning ved udførelse af identifikationstesten, såsom de omkostninger og den tid, der er nødvendig til at foretage identifikation, under hensyntagen til blandt andet den tilgængelige teknologi på behandlingstidspunktet.8787. Forordning 2018/1725 pr. 16, 4. pkt. og GDPR pr. 26, 4. pkt. Ifølge EU-Domstolen er identifikationstesten opfyldt, medmindre identifikation i praksis er uigennemførlig, fordi den kræver en større indsats i tid, omkostninger og arbejde, således at risikoen for identificering i virkeligheden synes ubetydelig.8888. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 46, jf. generaladvokatens forslag til afgørelse af den 12. maj 2016, pr. 68. Alligevel fandt Retten, at internetsøgninger (basal teknisk færdighed) og et begrænset tidsforbrug udgør et usandsynligt middel at bruge for en læser, der søger at identificere forskeren, hvilket i lyset af EU-Domstolens praksis sætter en mere restriktiv standard for, hvordan ”alle objektive forhold” skal fortolkes.
Forskeren blev, få timer efter offentliggørelse af pressemeddelelsen, omtalt af en tysk journalist i et indlæg på Twitter8989. Rettens dom af 4. maj 2022, T-384/20, pr. 80-82 og 86. og efterfølgende nævnt af en græsk journalist ved betingede formuleringer i en artikel bragt tretten dage efter offentliggørelsen, da artiklen, efter omfattende research, alene henviste til universitetet, der var vært for forskningsprojektet, og til den ansvarlige forsker.9090. Rettens dom af 4. maj 2022, T-384/20, pr. 83.
Retten sondrede mellem journalisterne og betragtede ikke den tyske journalist som en ”lecteur moyen” (dansk: gennemsnitlig læser), da han blev anset for at være en professionel journalist specialiseret indenfor biomedicinsk forskning, hvis undersøgende arbejde var rettet mod at afsløre tilfælde af svindel i den videnskabelige forskningsverden.9191. Rettens dom af 4. maj 2022, T-384/20, pr. 75-76. Ifølge Retten kunne den tyske journalist alene identificere forskeren på grundlag af den subjektive, eksterne viden, som den tyske journalist havde opnået forinden, og ikke på grundlag af indholdet i pressemeddelelsen. Den (special)viden, som var utilgængelig for offentligheden, skulle ikke betragtes som et middel, der med rimelighed kunne forventes anvendt til at foretage identifikation, selvom journalisten de facto identificerede forskeren, fordi journalisten ikke udgjorde en gennemsnitlig læser af pressemeddelelsen.9292. Rettens dom af 4. maj 2022, T-384/20, pr. 82 og 91-92.
Retten anvendte på den baggrund en bonus pater familias betragtning ved afklaring af identifikationstesten, idet testen skete ud fra, hvilke midler der med rimelighed kunne forventes bragt i anvendelse til identifikation af forskeren af en gennemsnitlig læser af pressemeddelelsen. Rettens tilgang til identifikationstesten harmonerer dermed ikke med EU-Domstolens fortolkning i Breyer-sagen. Det skyldes, at EU-Domstolen i Breyer-sagen præciserede, at en person først er uidentificerbar, når kontakten til en anden, der har den supplerende viden, som muliggør identifikation, i praksis er uigennemførlig, eller er ulovlig i henhold til den konkrete dataansvarliges forhold, således at risikoen for identificering i virkelighed synes ubetydelig.9393. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 46, jf. generaladvokatens forslag til afgørelse af den 12. maj 2016, pr. 68. Til sammenligning var risikoen for identifikation ikke ubetydelig i OC-sagen, eftersom identifikationen af forskeren alene krævede én persons research, der ikke syner at ville have taget uforholdsmæssig lang tid.9494. Rettens dom af 4. maj 2022, T-384/20, pr. 85.
Rettens betragtning om gennemsnitlige læsere (bonus pater familias vurdering) harmonerer desuden ikke med Datatilsynets mor-princip, der jo netop kan siges at have indgående (special)viden, som ikke er offentligt tilgængelig.
I dommen præciserer Retten flere steder, at forskeren bærer bevisbyrden for, at pressemeddelelsens indhold i sig selv, men også ved hjælp af midler, som med rimelighed kunne forventes anvendt af en af dens læsere, gjorde det muligt at identificere hende.9595. Rettens dom af 4. maj 2022, T-384/20, pr. 68, 73, 88 og 91. Placering af bevisbyrden for regelsættets materielle anvendelsesområde på beskyttelsesobjekterne, de registrerede, synes ikke i overensstemmelse med den beskyttelse af privatlivet, der er tiltænkt med forordning 2018/175 og GDPR. Fx er det den dataansvarsvarlige, som er ansvarlig for og skal kunne påvise overholdelse af disse regelsæt.9696. Forordning 2018/1725 art. 4, stk. 2, og art. 26 samt GDPR art. 5, stk. 2, og art. 24.
3.3. SRB-sagen (anket): Opretholdelse af Rettens restriktive fortolkning
For nyligt afsagde Retten dom i sagen Single Resolution Board (SRB) mod European Data Protection Supervisor (EDPS),9797. Rettens dom af 26. april 2023, T-557/20. der også drejede sig om grænserne for identifikationskravet i forordning 2018/1725. Sagen handlede om lovligheden af en afgørelse truffet af EDPB, hvori EDPB vurderede, at aktionærer og kreditorers pseudonymiserede informationer transmitteret fra SRB til Deloitte var personoplysninger med den følge, at videregivelsen var sket uden, at disse personer var behørigt informeret.
EDPS argumenterede under sagen, at Deloittes manglende adgang til de supplerende informationer, som alene SRB var i besiddelse af, og som ville muliggøre (gen)identifikation, ikke førte til, at de transmitterede, pseudonymiserede informationer til Deloitte skulle betragtes som anonyme informationer. Det skyldes EDPS' generelle betragtning om, at pseudonymiserede informationer forbliver personoplysninger, selv når de transmitteres til en tredjepart, der ikke har supplerende information til at foretage (gen)identifikation,9898. Rettens dom af 26. april 2023, T-557/20, pr. 79, 83 og 101. hvilket er udtryk for en objektiviseret tilgang til identifikationstesten.
På baggrund af Breyer-sagen, jf. ovenfor, fastslog Retten, at det var nødvendigt at sætte sig i Deloittes sted for at afgøre, om de informationer, der var videregivet til Deloitte, vedrørte identificerbare personer.9999. Rettens dom af 26. april 2023, T-557/20, pr. 97. Retten bekræftede dermed EU-Domstolens subjektive tilgang til identifikationstesten. Det faktum, at afsenderen af informationerne er i stand til at (gen)identificere personerne, betyder ikke automatisk, at informationerne også udgør personoplysningerne for modtageren. Muligheden for kombination af de informationer, der var sendt til Deloitte, med de yderligere informationer, som SRB var i besiddelse af, skulle dermed vurderes som udgørende et middel, som Deloitte med rimelighed kunne forventes at anvende til at foretage identifikation.100100. Rettens dom af 26. april 2023, T-557/20, pr. 104. Retten fandt, at Deloitte på baggrund af sagens konkrete omstændigheder ikke var i stand til at foretage (gen)identifikation af personerne.101101. Rettens dom af 26. april 2023, T-557/20, pr. 106, jf. pr. 56. Retten tog ikke samtidig stilling til, om Deloitte på baggrund af sagens konkrete omstændigheder var i stand til at foretage (gen)identifikation af personerne.
4. Sammenfatning: Hvornår er en fysisk person identificerbar i GDPR’s forstand?
Som påvist er grænserne for GDPR’s krav om identifikation fortsat uafklaret. EU-Domstolen og Retten præciserer ikke kravet ens, hvilket også er tilfældet blandt de europæiske tilsynsmyndigheder. Imidlertid er der sket en vis præcisering af, hvornår en person kan siges at være identificerbar.
Oprindeligt blev identifikationskravet under registerlovene anset for opfyldt, selvom der var forvekslingsmuligheder blandt personers navne i en database. I dag fortolkes kravet mere restriktivt i praksis, da kravet forudsætter, at information er mulig at henføre til ét bestemt individ. Identifikation af ét bestemt individ indebærer ikke nødvendigvis, at individet har udvist den adfærd, der har ført til behandling af de informationer, som vurderes personhenførbare. EU-Domstolens praksis har givet anledning til en formodningsregel, hvormed privatlivsbeskyttelsen i visse tilfælde centreres om de personer, der er part i en given aftale og derved er identificerbare, fremfor de, som faktisk udøver den adfærd, som den pågældende aftale muliggør.102102. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 49. Formodningsreglens grænser er uafklaret, og det er således vanskeligt at afgøre, om GDPR finder anvendelse, og i givet fald hvilke personer som beskyttes, når der sker behandling af en husholdnings forbrugsdata, data hidrørende fra intelligente aktiver ejet i fællesskab (deleøkonomi).103103. Peter Blume, Persondata i relation til ting, U.2011B.253. Formodningsreglen må således afklares nærmere i praksis.
EU-Domstolen og Retten gør brug af samme identifikationstest, når det vurderes, om en person er ”identificeret eller identificerbar”. Først afklares, om personen er ”identificeret”. Hvis personen ikke er identificeret, vurderes dernæst, om personen kan siges at være ”identificerbar”.
4.1. Identifikationstestens første led: Hvornår er en person ”identificeret”?
GDPR afgrænser ikke klart, hvornår en person er ”identificeret”. EU-Domstolen har præciseret udtrykket, hvor det afgørende for identifikationstesten er, om den konkrete information, eventuelt i kombination med supplerende information, som den dataansvarlig aktuelt behandler, direkte afslører identiteten på personen.104104. Se bl.a. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 38. Dermed gør EU-Domstolen brug af en restriktiv fortolkning, fordi testen ikke tillader, at informationen kombineres med anden ekstern information eller fremtidig information, som den dataansvarlige (måske) kommer i besiddelse af.
4.2. Identifikationstestens andet led: Hvornår er en person ”identificerbar”?
Når en person ikke er ”identificeret” i GDPR’s forstand, skal det afklares, om personen er direkte eller indirekte ”identificerbar”. Formålet med den identifikationstest er at afklare, om bearbejdning af, kendskab til eller sammenkobling med supplerende information fra en ekstern kilde nu eller i fremtiden sætter den dataansvarlige i stand til at henføre informationen til én bestemt person.
Ud fra EU-domstolen og Rettens praksis er det ikke tydeligt, hvornår en person er direkte og indirekte identificerbar. En person må imidlertid siges at være direkte identificerbar, når identifikation sker på grund af én unik identifikator fra en ekstern datakilde, der i sig selv afslører identiteten på personen, og være indirekte identificerbar, når personen er identificerbar som følge af en unik kombination af ikke-unikke eksterne identifikatorer.105105. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 41 og Kasper Bjerre Hendrup Andersen, Databeskyttelsesforordningens personoplysningsbegreb, Juristen nr. 6 2023, figur 3.
4.2.1. Centrum for identifikationskravets rimelighedsvurdering
Omfanget af eksterne datakilder, der skal tages i betragtning ved vurdering af, om en person er direkte eller indirekte identificerbar, afgrænses af GDPR til midler, der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige eller en anden person, hvor alle objektive forhold, såsom omkostninger ved og tid, der er nødvendig for, identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling skal indgå.106106. GDPR pr. 26. Identifikationstesten rummer som følge af betragtningen om rimelige midler en implicit sandsynlighedsvurdering, der er gældende både for de midler, som en dataansvarlig og en anden person kan tænkes at bringe i anvendelse med henblik på at foretage identifikation.
Historisk har det givet anledning til tvivl, om der skulle tages udgangspunkt i et objektiv eller subjektivt (også kaldet relativt) kriterium ved fortolkning af denne personkreds.107107. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 25. Ifølge entydig praksis fra EU-Domstolen og Retten skal vurderingen ske subjektivt forstået på den måde, at den dataansvarlige skal være centrum for identifikationstesten, og en ”anden person” udgør den personkreds, som denne med rimelighed kan formodes at henvende sig til med henblik på at foretage identifikation.
Hvem der kan siges at være ”den dataansvarlige”, og dermed hvem der er objekt for identifikationstesten, giver sjældent anledning til tvivl i praksis, når en aktør bestemmer over behandlingen. Afklaringen udfordres imidlertid, når to eller flere dataansvarlige er fælles dataansvarlige.108108. GDPR art. 26. Hverken EU-Domstolen eller Retten har taget stilling til, om det subjektive kriterium indebærer, at identifikationstesten skal foretages for hver af de dataansvarlige, eller om de fælles dataansvarlige skal være centrum for samme test. Ved en samlet identifikationstest vil de midler, som én dataansvarlig med rimelig kan siges at bringe i anvendelse, kunne påvirkes af den anden dataansvarliges forhold. I praksis vil en samlet test sjældent være mulig at gennemføre, fordi de dataansvarlige ofte ikke har indgående kendskab til de identifikationsmidler, som den anden dataansvarlige råder over, og hvornår dennes kontakt til en anden person kan siges at være uigennemførlig eller ulovlig. Det skyldes, at det ikke er en betingelse for fælles dataansvar, at hver dataansvarlig har adgang til behandlingen af personoplysninger,109109. EU-Domstolens dom af 5. juni 2018, C-210/16, pr. 38, dom af 10. juli 2018, C-25/17, pr. 69 og dom af 29. juli 2019, C-40/17, pr. 69. hvormed aktører kan være fælles dataansvarlige, selvom kun den ene har indblik i behandlingen. Det subjektive kriterium anvendelse på fælles dataansvarlige må på baggrund af ovenfor anførte afklares nærmere i praksis.
4.2.2. Den dataansvarliges egne midler til at foretage identifikation
De midler, som den dataansvarlige selv med rimelighed kan tænkes bragt i anvendelse uden henvendelse til en anden person, fortolkes ikke ens i praksis. Eksemplificeret består en kløft mellem EU-Domstolen og Rettens vurdering af, om den dataansvarliges forudgående, interne supplerende viden, som ikke er offentligt tilgængeligt, udgør et rimeligt middel til at identificere en person.
EU-Domstolen vurderede på den ene side i Nowak-sagen, at en uddannelsesinstitution uden vanskeligheder eller tvivl var i stand til at kunne identificere en elevs pseudonymiserede besvarelse i forbindelse med en prøve ved hjælp af den pågældendes identifikationsnummer, uanset om eksaminator, der modtog og skulle bedømme besvarelsen, ikke rådede over en entydig identifikator og således var ubekendt med elevens identitet.110110. EU-Domstolens dom af 20. december 2017, C-434/16, pr. 31.
Retten vurderede på den anden side i OC-sagen, at den (special)viden, som en journalist havde om den registrerede, ikke udgjorde et rimeligt middel, der kunne tænkes bragt i anvendelse, også selvom midlet de facto blev brugt af journalisten til at foretage identifikation. Årsagen var, at journalisten ikke kunne anses for at være en gennemsnitlig læser af en offentliggjort pressemeddelelse på internettet, og selvom centrum for Rettens vurdering var den konkrete journalist, skulle dennes konkrete, subjektive forhold ikke inddrages i vurderingen. I stedet skulle vurderingen foretages på et objektivt grundlag: Hvilke midler kan en gennemsnitlig læser af pressemeddelelsen med rimelighed siges at tage i betragtning med henblik på at foretage identifikation. De midler, som en gennemsnitlig læser af pressemeddelelsen med rimelighed kunne siges at bringe i anvendelse, omfattede ifølge Retten ikke internetsøgninger i en offentlig database og derpå tre søgemaskinesøgninger.
OC-sagen er anket til EU-Domstolen, og rettesnoren for, hvilke midler der med rimelighed kan tænkes bragt i anvendelse af den dataansvarlige, må således præciseres nærmere af domstolen. I lyset GDPR’s formål om at beskytte den enkeltes ret til privatlivets fred i forbindelse med behandling af personoplysninger må det formodes, at brug af intern viden, som den dataansvarlige råder over, og praktisk gennemførlige (selvom vanskelige og tidskrævende) internetsøgninger udgør midler, som med rimelighed kan tænkes bragt i anvendelse af denne. Modstykket, hvor kravet om identifikation fortolkes restriktivt som af Retten, vil være udfordrende for GDPR’s privatlivsbeskyttelse, der jo er beregnet til at finde anvendelse på situationer, hvor den enkeltes rettigheder kan være i fare og derfor har brug for beskyttelse.
4.2.3. Personkredsen: En ”anden person”
GDPR afgrænser ikke personkredsen for, hvem der udgør en ”anden person”, som den dataansvarlige med rimelighed kan formodes at henvende sig til med henblik på at foretage identifikation. Imidlertid hindrer identifikationskravets rimelighedsvurdering i sagens natur en maksimalistisk fortolkning af udtrykket ”anden person”, der jo i praksis vil føre til, at alle former for information vil blive klassificeret som personoplysninger, fordi det ikke kan udelukkes, at en tredjemand ikke er i besiddelse af oplysninger, som muliggør identifikation af personen.111111. Generaladvokatens forslag til afgørelse af 12. maj 2016, C-582/14, pr. 65. Eksemplificeret ved det skrøbelige (konsulent)argument om, at et offentliggjort billede udgør en personoplysning, fordi en anden person i verden kan genkende vedkommende på billedet, eller Datatilsynets mor-princip, jf. ovenfor.
Selvom identifikationstestens underliggende krav om rimelighed jo sætter en vis grænse for personkredsen, er det ikke klart, hvornår den dataansvarliges henvendelse til en anden person er rimelig. EU-Domstolen har imidlertid sat en nedre grænse for, hvornår der foreligger en rimelig henvendelse, fordi domstolen mere generelt i Breyer-sagen fastslog, at en dataansvarlig med rimelighed kan siges at henvende sig til en ”anden person”, medmindre kontakten i praksis er uigennemførlig, fx på grund af, at det vil kræve en større indsats i tid, omkostninger og arbejde, eller er ulovlig, så risikoen for identificering i virkelighed synes ubetydelig.112112. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 46, jf. generaladvokatens forslag til afgørelse af den 12. maj 2016, pr. 68. I Breyer-sagen blev den dataansvarliges konkrete forhold lagt til grund ved vurderingen, hvilket overført til andre dataansvarliges forhold kan lede til indskrænkning af, hvilke informationer som kan siges at være personhenførbare. Fx kan en databehandler hverken siges at have praktisk mulighed for at genidentificere personer på baggrund af modtagne pseudonymiserede informationer eller en lovlig vej til krypteringsnøglen eller supplerende viden hos tredjemand, medmindre instruksen fastsat i databehandleraftalen tillader det.
Det subjektive kriterium ved vurdering af, hvem der udgør en anden person, sikrer som nævnt, at identifikationstesten har et personel anker for afgrænsning af, hvem vedkommende med rimelighed kan henvende sig til. Imidlertid grænser det subjektive kriterium op til visse objektive elementer, der indgår i vurderingen, og som kan give anledning til forvirring. Selvom det er nødvendigt at sætte sig i den dataansvarliges sted, medfører det ikke, at dennes hensigt om at foretage identifikation skal tages i betragtning. Uanset om den dataansvarlige ønsker eller ikke ønsker at foretage identifikation af personen, påvirkes vurderingen ikke heraf. EU-Domstolen inddrog således ikke, om der konkret var behov for udbyderen af en onlinemedietjeneste at afværge angreb eller foranledige strafferetlig forfølgning for derved at identificere Breyer. Desuden skal alle objektive forhold, fx den tilgængelige teknologi på behandlingstidspunktet, tages i betragtning.
EU-Domstolen opstiller ved Breyer-sagen visse pejlemærker for afgrænsningen af, hvem der udgør en anden person. Hvornår en dataansvarligs henvendelse til en anden person bør anses for gennemførlig eller lovlig, og grænsedragningen mellem det subjektive kriterium, som afsættet for vurderingen, og de objektive momenter, der indgår heri, er imidlertid ikke klar. Niveauet for, hvornår den dataansvarlige med rimelighed kan formodes at henvende sig til en anden med henblik på at foretage identifikation, må således afklares nærmere i praksis.
Fodnoter samlet
1Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
2. GDPR art. 99, stk. 2.
3. GDPR art. 1, stk. 1.
4. Forudsat personoplysningen behandles elektronisk, eller at personoplysningen er eller vil blive indeholdt i et register, jf. GDPR art. 2, stk. 1.
5. GDPR pr. 26, 5. pkt.
6. EU-Domstolens dom af 6. november 2003, C-101/01, pr. 88, dom af 20. maj 2003, i de forenede sager C-465/00, C-138/02 og C-139/01, pr. 43, dom af 7. maj 2009, C-553/07, pr. 59, og dom af 20. december 2017, C-434/16, pr. 33.
7. GDPR art. 4, nr. 1.
8. Personoplysningsbegrebet kræver, at en personoplysning er ”enhver form for information” og udgør således et indholdsløst krav, fordi kravet er altomfavnende: informationskravet kræver, at de data, som vurderes, er ”information”, og definerer samtidig alt data som ”information”, jf. Kasper Bjerre Hendrup Andersen, Databeskyttelsesforordningens personoplysningsbegreb, Juristen nr. 6 2023, afsnit 1.2.
9. Begrebets krav om relation tester, om informationen er ”om” personen, og dermed om der består en tilpas nær relationen mellem informationen og den fysiske person. Se bl.a. Kasper Bjerre Hendrup Andersen, Personoplysningsbegrebets relationskrav, U.2022B.326.
10. Personoplysningsbegrebets personkrav kræver, at informationen kan henføres til en ”fysisk person”, jf. Kasper Bjerre Hendrup Andersen, Databeskyttelsesforordningens personoplysningsbegreb, Juristen nr. 6 2023, afsnit 1.3.
11. ”En personoplysning er enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. […] Man siger, at oplysningen er ”personhenførbar”.” Datatilsynets hjemmeside (https://www.datatilsynet.dk/hvad-siger-reglerne/grundlaeggende-begreber-/hvad-er-personoplysninger). [tilgået den 3. maj 2023]
12. Se blandt andet Paul M. Schwartz & Daniel J. Solove, THE PII PROBLEM: PRIVACY AND A NEW CONCEPT OF PERSONALLY IDENTIFIABLE INFORMATION, New York University Law Review, Vol. 86, p. 1814-1894.
13. Rettens dom af 26. april 2023, T-557/20, som blandt andet omtales i Halvor Manshaus og Kaare M. Risung, Hvorvidt data utgjør personopplysninger – terskelen for identifiserbarhet – på vei mot en pragmatisk fortolkning av gdpr, Lov&Data nr. 154 – hefte 2/2023, s. 29.
14. Artikel 29-gruppens vejledning nr. 4/2007 af 20. juni 2007 om ”the concept of personal data”, WP136, s. 3.
15. Se blandt andet Nadezhda Purtova, From knowing by name to targeting: the meaning of identification under the GDPR, International Data Privacy Law, 2022, Vol. 12, No. 3, Peter Davis, Facial Detection and Smart Billboards: Analysing the ‘identified’ Criterion of Personal Data in the GDPR, University of Oslo Faculty of Law Legal Studies Research Paper Series, No. 2020-01, Jean-Philippe Moiny, Are Internet protocol addresses personal data? The fight against online copyright infringement, Computer Law & Security Review 27 (2011), p. 348-361, Alessandro El Khoury, Dynamic IP Adresses Can be Personal Data, Sometimes. A Story of Binary Relations and Schrödinger’s Cat, European Journal of Risk Regulation (EJRR) 8, no. 1 (March 2017), p. 191-197, Manon Oostveen, Identifiability and the applicability of data protection to big data, International Data Privacy Law, 2016, Vol. 6, No. 4, p. 299-309, Samson Yoseph Esayas, The role of anonymisation and pseudonymisation under the EU data privacy rules: beyond the ‘all or nothing’ approach, European Journal of Law and Technology Vol 6, No 2 (2015), Nadezhda Purtova, The law of everything. Broad concept of personal data and future of EU data protection law, Law, Innovation and Technology, 2018, Vol. 10, No. 1, 40–81, og Paul M. Schwartz & Daniel J. Solove, THE PII PROBLEM: PRIVACY AND A NEW CONCEPT OF PERSONALLY IDENTIFIABLE INFORMATION, New York University Law Review, Vol. 86, p. 1814-1894.
16. Se EU-Domstolens domme i de forenede sager C-465/00, C-138/01 og C-139/01, og C-101/01, C-524/06, C-275/06, C-553/07, C-73/07, C-70/10, C-342/12, C-212/13, C-201/14, C-582/14, C-434/16, C-73/16, C-496/17 og Rettens domme i sagerne T-300/10, T-384/20 og T-557/20.
17. APD/GBA’s afgørelse af 4. april 2022 mod Brussels South Charleroi Airport, j.nr. 47/2022 og APD/GBA’s afgørelse af 4. april 2022 mod Brussels Airport Company SA og Ambuce Rescue Team SA, j.nr. 48/2022.
18. APD/GBA’s afgørelse af 4. april 2022 mod Brussels South Charleroi Airport, j.nr. 47/2022, pkt. 55.
19. Den belgiske appeldomstol i Bruxelles dom af 7. december 2022, j.nr. 2022/AR/556, og dom af 7. december 2022, j.nr. 2022/AR/560 og 2022/AR/564.
20. Den franske Højesterets dom af 26. juni 2020, j.nr. N° 441065, pkt. 22.
21. ”Ainsi, la seule vérification de la température au moyen d’un thermomètre manuel ou d’un dispositif ne conduisant pas à traiter des données à caractère personnel (tel que par exemple des outils de type infrarouge sans contact) sans remontée d’information ou constitution d’un fichier, ne relève pas de la règlementation en matière de protection des données.” CNIL’s hjemmeside (https://www.cnil.fr/fr/covid-19-questions-reponses-sur-la-collecte-de-donnees-personnelles-sur-le-lieu-de-travail). [tilgået den 19. juni 2023]
22. AEPD’s afgørelse af 25. maj 2021 mod Metro Bilbao, S.A., j.nr. E/03884/2020, s. 16, og AEPD’s afgørelse af 25. maj 2021 mod El Corte Inglés, j.nr. E703882/2020, s. 17-18.
23. ”Wanneer geldt de AVG niet? De AVG geldt niet als u de temperatuur alleen afleest. Maar alleen als u daarbij aan 3 voorwaarden voldoet:–U mag de temperatuur niet opnemen in een bestand, zoals een Excellijst met namen en de gemeten temperaturen. – De meting mag niet geautomatiseerd plaatsvinden, zoals bij een warmtecamera.– De verwerking mag geen geautomatiseerd gevolg hebben. Bijvoorbeeld poortjes die automatisch openen of een licht dat automatisch op groen gaat als de temperatuur niet te hoog is. Voldoet u niet aan deze 3 voorwaarden? Dan geldt de AVG wél. En mag u dus niet zomaar lichaamstemperatuur meten.” AP’s hjemmeside (https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/corona/temperaturen-tijdens-corona#waarom-valt-temperaturen-als-toegangscontrole-meestal-onder-de-avg-7741). [tilgået den 19. juni 2023]
24. Nadezhda Purtova, From knowing by name to targeting: the meaning of identification under the GDPR, International Data Privacy Law, 2022, Vol. 12, No. 3, p. 164, og Peter Davis, Facial Detection and Smart Billboards: Analysing the ‘identified’ Criterion of Personal Data in the GDPR, University of Oslo Faculty of Law Legal Studies Research Paper Series, No. 2020-01, p. 9.
25. Artikel 29-gruppens vejledning nr. 4/2007 af 20. juni 2007 om ”the concept of personal data”, WP136, s. 3.
26. Ibid, s. 12.
27. Ibid, eksempel 14 på s. 16.
28. Ibid, s. 26.
29. EU-Domstolens dom af 11. december 2014, C-212-13, pr. 21-22.
30. Datatilsynets podcast om ”Hvad er personoplysninger”. (https://www.datatilsynet.dk/hvad-siger-reglerne/podcast/hvad-er-personoplysninger) [tilgået den 19. juni 2023]
31. Datatilsynets podcast om ”Hvad er personoplysninger”. (https://www.datatilsynet.dk/hvad-siger-reglerne/podcast/hvad-er-personoplysninger) [tilgået den 19. juni 2023]
32. EU-Domstolen har slået fast, at en dynamisk IP-adresse er en personoplysning, jf. domstolens dom af 19. oktober 2016, C-582/14, pr. 49.
33. Kasper Bjerre Hendrup Andersen, En fælles databeskyttelsesret?, U.2023B.51, afsnit 3.
34. ”Using scientifically sound and highly efficient AI algorithms, the software library SHORE® offers anonymized analysis and evaluation of faces”, jf. Fraunhofer Institute for Integrated Circuits IIS’s hjemmeside (https://www.iis.fraunhofer.de/en/ff/sse/affective-computing/facial-analysis-solutions.html). [tilgået den 19. juni 2023]
35. Se blandt andet den engelske sprogversion af GDPR, hvori en personoplysning defineres som ”any information relating to an identified or identifiable natural person”, den tyske sprogversion ”alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person”, den spanske sprogversion ”toda información sobre una persona física identificada o identificable”, den franske sprogversion ”toute information se rapportant à une personne physique identifiée ou identifiable”, den italienske sprogversion ”qualsiasi informazione riguardante una persona fisica identificata o identificabile”, den polske sprogversion ”oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”, den hollandske sprogversion ”alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”, den portugisiske sprogversion ”informação relativa a uma pessoa singular identificada ou identificável” og den svenske sprogversion ”varje upplysning som avser en identifierad eller identifierbar fysisk person”, som alle harmonerer med den danske sprogversion.
36. GDPR art. 4, nr. 1.
37. EU-Domstolen har slået fast, at en dynamisk IP-adresse er en personoplysning, jf. domstolens dom af 19. oktober 2016, C-582/14, pr. 49.
38. GDPR pr. 30.
39. Kasper Bjerre Hendrup Andersen, Databeskyttelsesforordningens personoplysningsbegreb, Juristen nr. 6 2023, figur 1.
40. GDPR pr. 26.
41. Lee A. Bygrave and Luca Tosoni, The EU General Data Protection Regulation (GDPR) A Commentary, 1. Edition, 2020, p. 110.
42. GDPR art. 4, nr. 1 og pr. 30.
43. Nadezhda Purtova, From knowing by name to targeting: the meaning of identification under the GDPR, International Data Privacy Law, 2022, Vol. 12, No. 3, p. 173.
44. GDPR pr. 15, 1. pkt., og pr. 26, hvoraf fremgår, at identifikationstesten skal foretages under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling.
45. GDPR pr. 26, 5. pkt.
46. GDPR art. 4, nr. 5.
47. Det fremgår imidlertid af den engelske sprogversion af GDPR, at identifikation kan ske ved ”singling out” en person, jf. pr. 26, 3. pkt.
48. Lov nr. 293 af 8. juni 1978 om private registre m.v. og Lov nr. 294 af 8. juni 1978 om offentlige myndigheders registre.
49. Peter Blume, Personregistrering, 2. udgave, 1992, s. 29.
50. APD/GBA’s afgørelse af 3. april 2023, j.nr. DOS-2022-01387, pkt. 35.
51. Bayerns øverste forvaltningsdomstols dom af 27. september 2022, j.nr. 4 BV 21.2328, pkt. 31.
52. EU-Domstolens dom af 20. maj 2003 i de forenede sager C-465/00, C-138/01 og C-139-01 og EU-Domstolens dom af 6. november 2003, C-101/01.
53. Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.
54. EU-Domstolens dom af 20. maj 2003 i de forenede sager C-465/00, C-138/01 og C-139-01, pr. 43, dom af 6. november 2003, C-101/01, pr. 88 og dom af 7. maj 2009, C-553/07, pr. 59.
55. EU-Domstolens dom af 7. maj 2009, C-553/07, pr. 59.
56. EU-Domstolens dom af 20. maj 2003 i den forenede sager C-465/00, C-138/01 og C-139-01, pr. 64, dom af 6. november 2003, C-101/01, pr. 24, dom af 29. januar 2008, dom af 16. december 2008, C-524/06, pr. 43, dom af 16. december 2008, C-73/07, pr. 35, Rettens dom af 22. maj 2012, T-300/10, pr. 114, C-275/06, pr. 45, EU-Domstolens dom af 30. maj 2013, C-342/12, pr. 22, dom af 11. december 2014, C-212/13, pr. 21 og dom af 1. oktober 2015, C-201/14, pr. 29.
57. EU-Domstolens dom af 20. maj 2003 i de forenede sager C-465/00, C-138/01 og C-139-01, pr. 64.
58. EU-Domstolens dom af 16. december 2008, C-73/07, pr. 35.
59. EU-Domstolens dom af 30. maj 2013, C-342/12, pr. 22.
60. EU-Domstolens dom af 16. december 2008, C-524/06, pr. 43.
61. EU-Domstolens dom af 29. januar 2008, C-275/06, pr. 45.
62. EU-Domstolens dom af 20. december 2017, C-434/16, pr. 29-31.
63. EU-Domstolens dom af 6. november 2003, C-101/01, pr. 27.
64. EU-Domstolens dom af 27. september 2017, C-73/16, pr. 33, dom af 20. december 2017, C-434/16, pr. 28-29, og dom af 16. januar 2019, C-496/17, pr. 53 og 56.
65. EU-Domstolens dom af 24. november 2011, C-70/10, pr. 51.
66. Peter Davis, Facial Detection and Smart Billboards: Analysing the ‘identified’ Criterion of Personal Data in the GDPR, University of Oslo Faculty of Law Legal Studies Research Paper Series, No. 2020-01, s. 17.
67. EU-Domstolens dom af 19. oktober 2016, C-582/14.
68. En dynamisk IP-adresse er en midlertidig adresse, der tildeles ved hver tilslutning til internettet og erstattes ved senere tilslutninger, hvormed en statisk IP-adresse er en uforanderlig adresse, som gør det muligt permanent at identificere den enhed, der er tilsluttet internettet, jf. pr. 36 i Breyer-sagen.
69. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 38.
70. Peter Davis, Facial Detection and Smart Billboards: Analysing the ‘identified’ Criterion of Personal Data in the GDPR, University of Oslo Faculty of Law Legal Studies Research Paper Series, No. 2020-01, s. 17.
71. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 43.
72. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 45.
73. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 46, jf. generaladvokatens forslag til afgørelse af den 12. maj 2016, pr. 68.
74. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 47-49.
75. EU-Domstolens dom af 17. juni 2021, C-597/19, pr. 102.
76. Kristian Korfits Nielsen og Anders Lotterup, Databeskyttelsesforordningen og databeskyttelsesloven med kommentarer, 1. udgave, 1. oplag, 2020, s. 242, og Nadezhda Purtova, From knowing by name to targeting: the meaning of identification under the GDPR, International Data Privacy Law, 2022, Vol. 12, No. 3, p. 178.
77. EDPB’s henstilling nr. 01/2020 om foranstaltninger, der supplerer overførselsværktøjer for at sikre overholdelse af EU-niveau for beskyttelse af personoplysninger af 18. juni 2018, version 2.0, s. 33: ”Brugstilfælde 2: Overførsel af pseudonymiserede data”.
78. EU-Domstolens dom af 16. juli 2020, C-311/18, pr. 133-135.
79. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 49.
80. Se blandt andet Peter Blume, Persondata i relation til ting, U.2011B.253.
81. Rettens dom af 4. maj 2022, T-384/20.
82. Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF.
83. Forordning 2018/1725 art. 3, stk. 1.
84. Forordning 2018/1725 pr. 5 og Rettens dom af 26. april 2023, T-557/20, pr. 88.
85. Appel iværksat den 14. juli 2022 af OC til prøvelse af dom afsagt af Retten (Niende Afdeling) den 4. maj 2022 i sag T-384/20, OC mod Kommissionen (Sag C-479/22 P).
86. Rettens dom af 4. maj 2022, T-384/20, pr. 70-73.
87. Forordning 2018/1725 pr. 16, 4. pkt. og GDPR pr. 26, 4. pkt.
88. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 46, jf. generaladvokatens forslag til afgørelse af den 12. maj 2016, pr. 68.
89. Rettens dom af 4. maj 2022, T-384/20, pr. 80-82 og 86.
90. Rettens dom af 4. maj 2022, T-384/20, pr. 83.
91. Rettens dom af 4. maj 2022, T-384/20, pr. 75-76.
92. Rettens dom af 4. maj 2022, T-384/20, pr. 82 og 91-92.
93. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 46, jf. generaladvokatens forslag til afgørelse af den 12. maj 2016, pr. 68.
94. Rettens dom af 4. maj 2022, T-384/20, pr. 85.
95. Rettens dom af 4. maj 2022, T-384/20, pr. 68, 73, 88 og 91.
96. Forordning 2018/1725 art. 4, stk. 2, og art. 26 samt GDPR art. 5, stk. 2, og art. 24.
97. Rettens dom af 26. april 2023, T-557/20.
98. Rettens dom af 26. april 2023, T-557/20, pr. 79, 83 og 101.
99. Rettens dom af 26. april 2023, T-557/20, pr. 97.
100. Rettens dom af 26. april 2023, T-557/20, pr. 104.
101. Rettens dom af 26. april 2023, T-557/20, pr. 106, jf. pr. 56.
102. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 49.
103. Peter Blume, Persondata i relation til ting, U.2011B.253.
104. Se bl.a. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 38.
105. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 41 og Kasper Bjerre Hendrup Andersen, Databeskyttelsesforordningens personoplysningsbegreb, Juristen nr. 6 2023, figur 3.
106. GDPR pr. 26.
107. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 25.
108. GDPR art. 26.
109. EU-Domstolens dom af 5. juni 2018, C-210/16, pr. 38, dom af 10. juli 2018, C-25/17, pr. 69 og dom af 29. juli 2019, C-40/17, pr. 69.
110. EU-Domstolens dom af 20. december 2017, C-434/16, pr. 31.
111. Generaladvokatens forslag til afgørelse af 12. maj 2016, C-582/14, pr. 65.
112. EU-Domstolens dom af 19. oktober 2016, C-582/14, pr. 46, jf. generaladvokatens forslag til afgørelse af den 12. maj 2016, pr. 68.