- Lagmannsrettens begrunnelse er ikke særlig tilfredsstillende

Rettsakter fra EU kan være utfordrende for norske rettsanvendere å navigere i. Spesielt personvernforordningen (GDPR) har vist seg å være vanskelig å forstå og etterleve. En nylig avsagt avgjørelse fra Gulating lagmannsrett (LG-2024-131664) illustrerer denne problematikken.

I dommen hadde en misfornøyd klient av Advokatfirmaet Danielsen & Co laget en nettside med domenenavnet www.advokat-danielsen.com, hvor den tidligere klienten beskyldte Danielsen for bedrageri, bedrageriforsøk og utpressing.

«Partners in crime» og «mafioso» er eksempler på karakteristikker som ble fremhevet på nettsiden. Danielsen & Co fremmet krav om oppreisningserstatning og krav om sletting av nettsiden etter GDPR, uten hell.

Et av spørsmålene retten måtte ta stilling til, var om nettsiden falt innenfor personvernforordningens virkeområde. Gulating kom til at nettsiden måtte anses som en blogg, og at GDPR dermed ikke kom til anvendelse.

Etter min mening strider lagmannsrettens vurdering her med den etablerte rettsoppfatningen på personvernrettens område.

Ordlyden kan ikke tolkes isolert

I vurderingen av om nettsiden falt innenfor lovens anvendelsesområde la lagmannsretten vekt på at «nettsiden kan ikke betegnes som noe register og det er ikke holdepunkter for å anta at eventuelle personopplysninger som legges ut på C side helt eller delvis behandles automatisert.»

GDPR gjelder for «helt eller delvis automatisert behandling av personopplysninger» jf. artikkel 2(1). Lagmannsrettens tolkning synes å være at innleggene som publiseres «manuelt» av C på nettsiden ikke omfattes.

Ordlyden kan i og for seg tilsi en slik tolkning, men den strider med den etablerte rettsoppfatningen. En slik isolert tolkning basert på den naturlige språklige forståelsen er ikke tilstrekkelig når man skal utpensle vilkåret.

De fleste behandlingsformer omfattes

Lagmannsrettens oppfatning har nok vært at automatisk betyr uten menneskelig involvering, men vilkåret innebærer simpelthen at personopplysningene helt eller delvis må være en del av en automatisk operasjon, jf. GDPR artikkel 4(2).

Fra man taster inn en bokstav på datamaskinen til innlegget publiseres, har personopplysningene vært gjennom utallige automatiske operasjoner. Da er det uten betydning at det er C selv som trykker på «publiser»-knappen. Som Skullerud mfl. påpeker i kommentarutgaven på Juridika vil «de aller fleste behandlingene falle inn under forordningens virkeområde, idet de skjer helt eller delvis ved bruk av informasjonsteknologi».

At behandlinger gjort ved bruk av informasjonsteknologi – som nettsider – omfattes av GDPR, er underforstått i Høyesteretts dom i Legeliste-saken (HR-2021-2403-A).

Krever gode grunner for å unnta blogger fra GDPR

Som ytterligere argument mot at nettsiden omfattes av forordningen uttalte retten at: «Lagmannsretten legger til grunn at det er C personlig som forfatter hvert eneste innlegg på nettsiden, og at han personlig beslutter hva som skal legges ut.»

Det er noe uklart hva lagmannsretten sikter til her. Muligens henvises det til GDPR artikkel 2(2)(c), som unntar behandlinger utført av en fysisk person i rent personlige eller familiemessige aktiviteter.

Selv om blogger kan ha en personlig karakter, har EU-domstolen i eksempelvis C-101/01 Lindqvist i avsnitt 47 uttalt at dette ikke gjelder publisering på internett som tilgjengeliggjør personopplysningene for et ubestemt antall mennesker. Derfor er blogger som er åpne for allmennheten ikke omfattet av unntaket. Dette er riktignok ikke en absolutt regel, men må anses som det klare utgangspunktet for blogger.

EU-domstolens uttalelse i Lindqvist kom i 2003, og gjaldt da det tidligere personverndirektivet fra 1995. Hvis EU-lovgiver ønsket å endre regelen slik den fremkommer av Lindqvist, hadde de en gyllen mulighet til å gjøre dette i forbindelse med GDPR som kom i 2016. Dette skjedde imidlertid aldri.

I senere tid i C-439/19 Latvijas Republikas Saeima fra 2021, har EU-domstolen i avsnitt 62 understreket at slike unntak fra GDPR nettopp skal tolkes strengt.

Blogger skal dermed ikke unntas GDPR, med mindre det foreligger gode grunner.

Skal verne om fysiske personers opplysninger

Hva som typisk vil anses unntatt fra personvernforordningens virkeområde er lukkede profiler på Instagram, hemmelige arrangementer på Facebook og begrensede grupper på Messenger. Forutsatt at disse ikke har et uforholdsmessig antall medlemmer/ følgere. Dette gir også mening. GDPR er ment å verne om fysiske personer i forbindelse med behandling av personopplysninger.

GDPR står videre ikke i veien for mer unntaksverdige situasjoner, eksempelvis for blogger lagd for et journalistisk øyemed eller litterære ytringer. Berettiget interesse kan òg tilrettelegge for slik behandling – men må i så fall begrunnes.

Skulle unntaket fra GDPR gjort seg gjeldende for blogger på et generelt grunnlag, ville heller ikke behandling av sensitive personopplysninger, som informasjon om seksuelle legninger, etnisk opprinnelse og politiske oppfatninger, vært omfattet. Disse er strengt regulert av GDPR, og det er gode grunner for at sensitive, men også alminnelige personopplysninger om privatindivider, ikke fritt og uhemmet skal kunne spres på ymse internettblogger.

At noe faller inn under kategorien «blogg», er altså ikke et overbevisende argument for å gjøre unntak fra GDPR. Hovedregelen bør derfor være at blogger omfattes. 

Lagmannsrettens begrunnelse er derfor ikke særlig tilfredsstillende, men illustrerer godt fallgruvene som mange jurister går i, i møte med komplekse rettsakter fra EU.