Hvem skal ha rett til å kreve retting og sletting av opplysninger om abonnementer som er opprettet gjennom ID-tyveri?
Personvernnemnda fattet i 2019 et interessant vedtak om innsyn i personopplysninger. En ukjent person hadde opprettet et kontantkortabonnement knyttet til klagers fødselsnummer. Klager ba så om innsyn i historikken rundt abonnementet, og fikk avslag. Nemnda begrunnet avslaget med at dette ikke er personopplysninger om klager. Nemndas konklusjon er ikke oppsiktsvekkende, men begrunnelsen fortjener en kommentar.
Begrepet «personopplysning» i er helt grunnleggende i personvernforordningen (GDPR). Det er bestemmende for lovens virkeområde, og derfor om vi som enkeltpersoner har rettigheter etter forordningen. Når Personvernnemnda, som i saken PVN 2019-18, konkluderer med at noe ikke er en personopplysning om en person, har det konsekvenser for både grunnleggende rettigheter og praktisk etterlevelse.
Som for flere andre grunnbegreper i forordningen er grensene for begrepet personopplysning slett ikke klare. En personopplysning er definert som enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator (…), jf. artikkel 4 nr. 1. Opplysningen kan være av subjektiv eller objektiv art, også feilaktige opplysninger om en enkeltperson kan være personopplysninger.
I PVN-2019-08 konkluderer Personvernnemnda med:
«Selv om et fødselsnummer entydig er knyttet til en person og dermed direkte identifiserer vedkommende, er det i dette tilfellet på det rene at As fødselsnummer er misbrukt av noen andre og at de personopplysningene som eventuelt fremkommer i tilknytning til det opprettede abonnementet hos B ikke er personopplysninger om A, men personopplysninger om den som har opprettet mobilabonnementet. GDPR artikkel 15 gir da heller ikke A rett til innsyn. Det er politiet som i et slikt tilfelle vil kunne be om utlevering av opplysninger. Når politiet ikke har funnet grunn til å etterforske ytterligere, kan ikke A velge å tre inn i den rollen.»
Dette er i tråd med Datatilsynets tidligere vedtak i saken, som ble klaget inn for nemnda.
Nemnda anser altså ikke informasjon om abonnementet, og bruk av abonnementet, som personopplysninger om klager. Dette selv om opplysningene er knyttet til klagers fødselsnummer som, kanskje bortsett fra biometri, er den mest entydige personidentifikatoren vi har i Norge. Her savner jeg en mer utfyllende begrunnelse fra nemndas side.
Datatilsynet viser i sin begrunnelse til at sperringen gjør det «dokumentert at fødselsnummeret er urettmessig brukt til å opprette abonnementet, og at opplysningene om bruk av abonnementet ikke skal knyttes til rette innehaver av fødselsnummeret».
En innvending mot dette er at det ikke er sikkert at opplysningen om sperring alltid vil medfølge de andre opplysningene, eller at dette er tilgjengelig for alle som behandler opplysningene. For det andre, hvis opplysningene mot formodning skulle bli kjent for uvedkommende, vil de uansett kunne medføre ubehageligheter for klager.
Viktigere er det at dersom det ikke er tale om personopplysninger om klager vil vedkommende stå helt utenfor det vern som forordningen gir. Krav om for eksempel retting, sletting eller erstatning etter forordningen vil dermed ikke kunne fremmes. Hvis man derimot ser på opplysningene som feilaktige personopplysninger om klager, vil det kunne være høyaktuelt for eksempel å kreve retting.
Det ville uansett være mulig for behandlingsansvarlig, tilsyn og nemnd å nekte innsyn ved å vise til forordningen artikkel 15 nr. 4, som sier at retten til å motta en kopi nevnt i nr. 3 skal ikke ha negativ innvirkning på andres rettigheter og friheter. I denne sammenheng ville det bety at innsyn for klager ville medført også innsyn i «svindlerens» personopplysninger, og ville hatt negativ innvirkning på dennes personvern. Fra mitt ståsted ville det vært en smidigere løsning, som vil gi den registrerte bedre vern hvor det er snakk om feilaktige opplysninger reelt sett generert av andre enn vedkommende selv.