Faller muntlig behandling av personopplysninger inn under GDPR?

Photo by Volodymyr Hryshchenko on Unsplash

Det er ikke veldig ofte saklig virkeområde, det vil si om GDPR kommer til anvendelse eller ikke, er relevant for oss som driver med personvern. Så lenge du har å gjøre med en personopplysning, vil som den store hovedregel GDPR gjelde.

Men det finnes unntak.

Så la GDPR la oss dykke mer ned i når GDPR gjelder og når det ikke gjelder ved å se på to eksempler fra når en muntlig behandling av personopplysninger er omfattet av reglene i GDPR, og når det ikke er det.

Ikke-automatisert behandling som inngår i et «register»

Utgangspunktet for GDPRs saklige virkeområde finner vi i GDPR artikkel 2(1). Bestemmelsen sier at all «automatiset behandling av personopplysninger» er omfattet av GDPR. Og dette gir mening. Teknologi har gjort det så mye enklere å behandle store mengder personopplysninger, og da er det nødvendig å stille krav til den behandlingen for at personvernet vårt skal ivaretas.

Men GDPR gjelder også «ikke-automatisert behandling av personopplysninger», men bare når de «inngår» eller «skal inngå» i et «register».

Hva betyr dette?

Det trenger ikke være et formelt register, det holder at du kan gjenfinne informasjonen

Registerbegrepet er vidt. Det omfatter ikke bare det vi normalt tenker på som et register. Dette betyr at noe kan være et register selv om det ikke heter «register» og selv om informasjonen ikke er organisert på dato, og finnes i mapper i et arkivskap.

Hvor finner vi denne definisjonen?

Jo, «register» er definert i GDPR. Nærmere bestemt i artikkel 4(6). Den sier at et register er «enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier».

Og informasjonen trenger ikke engang være samlet på samme sted for at det skal kvalifisere som et «register». Informasjonen kan være sentralisert, desentralisert eller «spredt på et funksjonelt eller geografisk grunnlag».

Igjen ser vi at GDPR inneholder vide definisjoner. Nettopp for å beskytte personvernet vårt på best mulig måte.

Tommelfingerregel – la oss se til praksis fra EU-domstolen

Så hva kan du ha som tommelfingerregel for når noe er et register? For å svare på om personopplysninger er strukturert på en så systematisk måte at det kan kalles et register, kan du spørre om du klarer å gjenfinne informasjonen.

Sagt på en annen måte, hvis du skal ta tak i informasjon om en person har en pågående straffesak, er spørsmålet om du klarer å finne den informasjonen.

Det var spørsmålet i en sak fra EU-domstolen der spørsmålene var

1. Om det å få muntlig informasjon fra en domstol om en persons pågående straffesaker var en behandling av personopplysninger?

(Ja, det var det)

og

2. Om behandlingen falt inn under det materielle unntaket i GDPR artikkel 2(1)?

(Nei, det gjorde den ikke)

Og da var konklusjonen at dette var informasjon som kunne gjenfinnes i et register.

Denne bloggposten er basert på nyhetsbrevet mitt om personvern. Driver du med personvern og kunne tenke deg støtte i form av et ukentlig nyhetsbrev? Meld deg på her!