Uke 41: #VissteDuAt – Avgjørelse fra EU-domstolen avklarer hva som omfattes av "særlige kategorier av personopplysninger" etter GDPR
13.10.2022 | Personvern
Skrevet av: Advokatfullmektig Kristina Birkelund Renstrøm

Hva handler GDPR artikkel 9 om?

EU-domstolen tok nylig stilling til hvilke opplysninger som omfattes av "særlige kategorier av personopplysninger" etter GDPR artikkel 9.  


Etter GDPR er det i utgangspunktet forbudt å behandle personopplysninger om 

  • rasemessig eller etnisk opprinnelse 

  • politisk oppfatning 
  • religion 
  • filosofisk overbevisning  

  • fagforeningsmedlemskap 


I tillegg er det forbudt å behandle genetiske opplysninger og biometriske opplysninger for å entydig identifisere  

  • en fysisk person 
  • helseopplysninger, eller 
  • opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. 


Slike personopplysninger kan bare behandles hvis ett av unntakene i GDPR artikkel 9 er oppfylt. 
 

Saken EU-domstolen behandlet, gjaldt litauisk lov. Etter litauisk lov var offentlige tjenestemenn pålagt å informere om navnet på sin samboer, ektefelle eller partner. Videre var offentlige myndigheter pålagt å publisere denne informasjonen som i realiteten medførte at navnet på offentlige tjenestemenns partnere var offentlig tilgjengelig informasjon.  
 

EU-domstolen tok i denne saken stilling til om offentliggjøringen av slike opplysninger innebar behandling av “særlige kategorier av personopplysninger” i strid med GDPR art. 9 ettersom personen indirekte informerte om sin seksuelle orientering. 
 

Nærmere om EU-domstolens vurdering  

EU-domstolen fremhevet i sin vurdering at ved tolkningen av bestemmelsen vil ikke kun ordlyden ha betydning, men også kontekst og direktivets formålsbestemmelser. Det følger av direktivet selv at både definisjonen “særlige kategorier av personopplysninger” og “sensitive personopplysninger” skal tolkes vidt, nettopp fordi bestemmelsene som regulerer behandling av slike opplysninger er etablert for å sikre en tilstrekkelig beskyttelse av grunnleggende rettigheter og friheter, særlig knyttet til det private liv.  
 

En annen forståelse ville stå i motsetning til formålet bak artikkel 9, som primært er å sikre en styrket beskyttelse ved behandling av informasjon som anses som særlig sensitive opplysninger, sett opp mot retten til privatliv og beskyttelse av personopplysninger etter artikkel 7 og 8.  
 

EU-domstolen konkluderte da også med at behandling av opplysninger som avslører sensitiv informasjon som omfattes av art. 9 eller på annen måte indirekte opplyser om slik informasjon, er beskyttet og vil omfattes av forbudet.  
 

Hva betyr avgjørelsen for privatpersoner og virksomheter?  

EU-domstolen har nå klarlagt omfanget av artikkel 9, og avgjørelsen er ikke overraskende. Den poengterer igjen den viktige beskyttelsen privatpersoner har ved behandling av særlig sensitive opplysninger som er tett knyttet opp til retten til privatliv.  
 

Virksomheter bør ta en gjennomgang av de personopplysningene de behandler, for å undersøke om de etter EU-domstolens klargjøring faktisk behandler “særlige kategorier av personopplysninger”. I så fall må virksomheten påse at et av unntakene i GDPR art. 9 nr. 2 er oppfylt, slik at behandlingen er legitim. Hvis virksomheten ikke har et gyldig behandlingsgrunnlag, må behandlingen opphøre eller vurderes på nytt. 

Vil du motta nyheter og invitasjoner fra oss? Meld deg på vårt nyhetsbrev her.