EU-domstolen klargör hanteringen av pseudonymiserade uppgifter

EU:s domstol har meddelat ett viktigt avgörande som rör behandlingen av pseudonymiserade uppgifter och huruvida de ska klassificeras som personuppgifter enligt EU:s allmänna dataskyddsförordning (GDPR). Domen fastslår att bedömningen av personuppgifter inte är absolut, utan beror på om den aktuella mottagaren av uppgifterna faktiskt har möjlighet att identifiera en person.

I det aktuella fallet hade en EU-myndighet pseudonymiserat kommentarer från enskilda innan de skickades till en extern tjänsteleverantör. EU:s domstol slog fast att de uppgifter som överfördes till tjänsteleverantören inte utgjorde personuppgifter, eftersom tjänsteleverantören saknade medel eller ytterligare kunskap för att återställa pseudonymiseringen. Myndigheten hade implementerat tekniska och organisatoriska åtgärder som effektivt förhindrade att uppgifterna kunde kopplas till individer.

Domen klargör att pseudonymisering i sig inte är detsamma som anonymisering. Om mottagaren inte har någon realistisk möjlighet att få tillgång till nyckeln eller ytterligare information för att återställa kopplingen till en person, kan uppgifterna betraktas som anonyma ur den mottagarens perspektiv. Samma uppgifter kan dock fortfarande vara personuppgifter för en annan part som har tillgång till dessa medel.

Konsultföretaget dhpg noterar att domen ger tydlighet och underlättar för bland annat AI-utveckling och forskningsprojekt som hanterar stora datamängder. Samtidigt väcker den nya frågor, särskilt inom området för personuppgiftsbiträden. Om pseudonymiserade uppgifter överförs till ett personuppgiftsbiträde som saknar medel att återställa pseudonymiseringen, uppstår frågan om biträdet ens behandlar personuppgifter. Då kan ett biträdesavtal bli aktuellt trots att biträdet ur sitt eget perspektiv inte hanterar personuppgifter. Ansvar för dataskyddet kvarstår hos den ursprungliga personuppgiftsansvarige.