Stortinget la ut en liste med personer som har brutt loven, og mente uriktig at GDPR (Personvernforordningen) ikke gjaldt dem.
Som følge av flere kritiske spørsmål fra Krimnett endret Stortinget lovtolkningen.
Foto: Stortinget og Krimnett
Mimir Kristjansson ville henge ut lovovertredere
Mimir Kristjansson ønsket å henge ut selskaper som har fått overtredelsesgebyr av Arbeidstilsynet. Stortinget publiserte dermed en liste flere år tilbake i tid, som også skulle inneholde en rekke personnavn.
Enkeltpersonforetak har ofte fulle navn i seg
Listen har nemlig en lang rekke navn på enkeltpersonforetak. Enkeltpersonforetak er, kort beskrevet, ordet for forretningen til en person som ikke driver gjennom AS.
Navnet på enkeltpersonforetak må innta etternavnet til personen som driver virksomheten. Det er vanlig at både fornavn og etternavn inngår i foretaksnavnet. Noen har også navnet på stedet de driver forretninger, og bor.
Listen er dermed en liste med personer og, i noen tilfeller, bosteder, som har fått straff av Arbeidstilsynet. Mange av overtredelsene ligger flere år tilbake i tid, og det er i mange tilfeller ilagt forelegg på størrelse med en fartsbot.
Det finnes ingen tilsvarende liste med, eksempelvis, navn og bosted på alle personer som har fyllekjørt, begått skadeverk eller butikktyveri.
Stortinget mente først Personvernforordningen ikke gjaldt
Personvernforordningen (GDPR) er ment å sette regler og grenser for behandling av personopplysninger.
På spørsmål fra Krimnett svarte Stortinget at personvernforordningen ikke gjaldt, fordi navn på enkeltpersonforetak ikke skulle være innbefattet:
Det følger av EUs personvernforordning (GDPR) artikkel 1 nr. 1 at forordningen «fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger samt regler om fri utveksling av personopplysninger». …
Publisering av juridiske virksomhetsnavn m.v. faller dermed utenfor forordningens virkeområde.
-Stortinget
Fordi Stortinget mente personvernforordningen ikke gjaldt, hadde Stortinget heller ikke utført noen vurdering knyttet til de navngittes personvern:
Det foreligger med dette heller ikke noe dokument med vurdering av forholdet til GDPR knyttet til den konkrete publiseringen, som det kan gis innsyn i.
-Stortinget
Stortinget endret lovtolkningen etter Krimnett-spørsmål
En rekke kilder sier imidlertid noe ganske annet. Krimnett stilte Stortinget flere kritiske spørsmål om lovtolkningen:
Dere slår fast at navn på juridiske virksomheter, da inkludert personforetaksnavn, ikke er personopplysninger. Det danske Datatilsynet som ivaretar samme GDPR-regelverk slår tvert imot fast at det er det:
«When citizens’ data are processed: The Data Protection Regulation applies when public authorities, private companies, associations etc. process data on natural persons. The concept of ‘natural person’ also includes sole proprietorships, since in practice it is not possible to distinguish between information about the owner as an individual and information about the company.«
1. Har Stortinget noen kommentar til at Stortingets vurdering av GDPR er i total motstrid mot det danske Datatilsynets?
Også det norske datatilsynet har vært inne på problemstillingen:
Datatilsynet slår fast i offentliggjort vedtak 20/02042-21 mot innovasjon Norge at «Å innhente og lagre kredittopplysninger om … enkeltpersonforetak utgjør en behandling av personopplysninger, jf. personvernforordningen artikkel 4 nr. 2 (..).«
Ny vurdering
Som følge av Krimnetts spørsmål revurderte Stortinget sin lovtolkning:
«På bakgrunn av din henvendelse, har vi foretatt en nærmere vurdering av saken.
Utgangspunktet er som tidligere formidlet, at navn på en juridisk person (juridisk virksomhetsnavn) som sådan ikke er å anse som en personopplysning i henhold til GDPR. Opplysninger som innebærer informasjon som kan knyttes til en identifisert eller en identifiserbar enkeltperson, vil likevel kunne anses om personopplysninger, slik du er inne på.» (uthevet her)
– Stortinget
Stortinget mener imidlertid fortsatt at det var lovlig å offentliggjøre personopplysningene, begrunnet annerledes, med flere nye grunner. Bl.a. med at «parlamentarisk kjernevirksomhet» mulig faller utenfor GDPR:
Det er en problemstilling i seg selv om parlamentarisk kjernevirksomhet faller utenfor virkeområdet til GDPR. Dette spørsmålet er for tiden til behandling i EU-domstolen, jf. sak C-33/22 (prejudisiell foreleggelse fra forvaltningsdomstol i Østerrike).
– Stortinget
Sak C-33/22 ser imidlertid ikke ut til å gå Stortingets vei. EU-domstolens generaladvokat Maciej Szpunars har utarbeidet et forslag til avgjørelse som finner at også Stortinget er omfattet:
Kan databeskyttelsesforordningens bestemmelser om retten til at indgive klage til en national tilsynsmyndighed i bekræftende fald anvendes direkte til trods for et forfatningsmæssigt princip, der forbyder ekstern indblanding i parlamentets aktiviteter? … Jeg vil i overensstemmelse med Domstolens praksis foreslå, at disse spørgsmål besvares bekræftende.
Stortinget oppgav imidlertid også andre grunner til å mene at behandlingen var lovmessig, bl.a. Grunnloven § 84 om åpenhet om stortingsforhandlinger. Bestemmelsen står i spenning til personvernet, og det er ikke sjelden at lover går foran Grunnlovens ordlyd.
Klage til datatilsynet kunne avklare
Det er Datatilsynet som eventuelt måtte behandlet en klage fra en av de omtalte, og avklare spørsmålet om personer som brøt loven hadde rett til å ikke få navnet sitt offentliggjort av Stortinget. Ingen slik klage har fremkommet i media.