Den 1. august 2022 avsa storkammeret i EU-domstolen en avgjørelse vedrørende forståelsen av hva som omfattes av «særlige kategorier personopplysninger» etter GDPR. Saken gjaldt litauisk lov, som pålegger offentlige myndigheter å publisere navnet på partneren til deres offentlige tjenestepersoner. Ett av spørsmålene i saken var om opplysninger om partnerskap falt under «særlig kategorier personopplysninger» da slike opplysninger indirekte avslører en persons legning.
Etter GDPR er det i utgangspunktet forbudt å behandle personopplysninger om blant annet rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning, helseopplysninger eller som i denne saken, opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Slike opplysninger kan kun behandles dersom et av de nærmere bestemte unntakene i GDPR kommer til anvendelse.
I avgjørelsen bekrefter EU-domstolen at opplysninger som ikke i seg selv omhandler forhold som nevnt over, kan være omfattet av «særlige kategorier personopplysninger». Domstolen presiserte at definisjonen av særlige kategorier personopplysninger i utgangspunktet må tolkes vidt, i lys av formålet om å sikre høy beskyttelse av slike opplysninger. Det vil derfor dreie seg om en særlig kategori personopplysning dersom det er mulig å dedusere seg frem til slik informasjon ut ifra ikke-sensitive personopplysninger.
Avgjørelsen viser til, og er i tråd med fortalen til GDPR, som presiserer at personvernprinsippene bør gjelde for enhver opplysning om en identifiserbar person. Ved vurderingen av om en person er identifiserbar, skal det tas hensyn til alle midler som med rimelighet kan brukes til å identifisere vedkommende «direkte eller indirekte».
Hvordan påvirker dette enkeltpersoner og virksomheter?
Avgjørelsen gir enkeltpersoner et større vern mot at visse personopplysninger samles inn eller blir publisert, dersom opplysningene kan brukes til å avsløre en opplysning innen en særlig kategori (for eksempel en helseopplysning) og som ikke er strengt nødvendig ut ifra formålet den ble innsamlet for. Det er eksempelvis ikke uvanlig at bilder publisert på sosiale medier-kontoer tilknyttet virksomheter, kan avsløre informasjon som er beskyttet som «særlige kategorier» personopplysninger.
For virksomheter gir avgjørelsen grunn til å gjennomgå databaser for å fastslå om opplysninger man behandler kan være omfattet av GDPR artikkel 9, i lys av domstolens avklaring av definisjonen. Dersom det oppdages at man behandler personopplysninger som faller inn under «særlige kategorier», må virksomheter sørge for at behandlingen har rettslig grunnlag i en av unntaksbestemmelsene, eksempelvis eksplisitt samtykke. En slik gjennomgang kan avdekke at det ikke foreligger et gyldig behandlingsgrunnlag og kan medføre at behandlinger må opphøre eller vurderes på nytt, for å sikre lovligheten etter GDPR artikkel 6 og 9.
Avgjørelsen er imidlertid ikke overraskende, og bør derfor ikke få store konsekvenser for virksomheter som har basert seg på riktig tolkning av GDPR fra før.