EU-Domstolens afgørelse om pseudonymisering under GDPR
EU-Domstolen har præciseret, at pseudonymiserede oplysninger kan anses som anonyme for modtageren, hvis modtageren ikke har adgang til nøglen og reelt ikke kan genidentificere personer. Dermed falder datasættet uden for GDPR hos modtageren. Samtidig fastslås det, at oplysningspligten består mellem den registrerede og den dataansvarlige før videregivelsen – også når modtageren alene modtager pseudonymiserede data.
Afgørelsen indebærer en modtagerbaseret vurdering: Det afgørende er, om genidentifikation er praktisk muligt for den konkrete modtager, henset til effektive tekniske og organisatoriske foranstaltninger, adskilt nøgleopbevaring og rimelige midler. Dermed kvalificeres pseudonymisering som et potent stærkt værktøj, hvis adskillelsen er stringent og dokumenteret.
Konsekvenser for praksis og tredjelande
Dommen letter dataudveksling i Europa og kan også forenkle tredjelandsoverførsler, når nøglen forbliver hos en enhed i EU, og modtageren uden for EU ikke kan genidentificere. Det kan reducere behovet for omfattende overførselsanalyser, men stiller tilsvarende skærpede krav til robust pseudonymisering, governance og kontraktuelle forbud mod identifikationsforsøg.
Dataansvarlige skal fortsat informere de registrerede inden videregivelsen, opdatere fortegnelser, og sikre, at risici ved potentielle genidentifikationsveje er vurderet. Dokumentation for TOMS, dataminimering og privacy by design er central for at kunne påberåbe sig, at modtageren ikke behandler personoplysninger.
For at kunne basere deling på pseudonymisering bør følgende være på plads:
- Effektiv adskillelse af nøgler, streng adgangskontrol og klare tekniske og organisatoriske foranstaltninger.
- Dokumenteret risikovurdering og eventuel DPIA med fokus på genidentifikationsmuligheder.
- Kontraktvilkår, der forbyder identifikationsforsøg og kræver passende sikkerhedsforanstaltninger hos modtageren.
Baggrund og klageforløb
Sagen udsprang af SRB’s høring i forbindelse med afviklingen af Banco Popular, hvor 1.104 pseudonymiserede besvarelser med alfanumeriske koder blev delt med Deloitte. Kun SRB besad nøglen. Flere berørte indgav klager til EDPS med påstand om manglende information om videregivelsen.
EU-Domstolen konkluderede, at SRB skulle have opfyldt oplysningspligten før deling, men at datasættet hos Deloitte kunne betragtes som anonymt, fordi modtageren ikke havde realistisk mulighed for genidentifikation. Dommen giver dermed et klart fortolkningsbidrag til brugen af pseudonymisering i praksis.
