Alt er ikke længere persondata

Alt er ikke længere persondata

Compliance Legal Tech og AI EU-ret Persondata og cybersikkerhed
EU-Domstolen bekræfter, at identifikationsmulighed skal vurderes hos modtageren: Data kan være anonyme for én part, selv om afsenderen kan identificere. Afgørelsen kan lette datadeling, forskning og AI-træning, men kræver dokumenterede vurderinger og klare tekniske og organisatoriske skel.

EU-Domstolen har fastslået, at identifikationsmulighed skal vurderes fra modtagerens perspektiv. Data kan derfor være anonyme for én part, selv om en anden part kan identificere personerne. Det udvider rummet for datadeling og reducerer i visse tilfælde GDPR-kravene for modtagere.

Retten fastslår relativt persondatabegreb

En tidligere sag om en bank under rekonstruktion viste vejen. Kommentarer med identitet blev delt til et eksternt revisionsfirma efter udskiftning af identiteter med unikke nøgler. Revisionsfirmaet havde ikke adgang til nøglen og kunne derfor ikke koble ID’er til personer.

Retten accepterede, at datasættet var anonymt for modtageren, selv om afsenderen fortsat kunne identificere. Den efterfølgende prøvelse ved EU-Domstolen bekræfter fortolkningen: Persondatabegrebet er relativt og afhænger af, om modtageren med lovlige og rimelige midler faktisk kan identificere.

Praktiske kriterier for anonymitet

Vurderingen forankres i GDPR’s betragtning 26: spørgsmålet er, om identifikation for modtageren er realistisk med midler, der retligt og praktisk står til rådighed. Vurderingen er parts-specifik og situationsbestemt.

I praksis bør man teste, om modtageren kan identificere personer på følgende måder:

  1. Direkte identifikation, hvor navne eller entydige kendetegn fremgår.
  2. Indirekte identifikation, hvor modtageren har eller kan få adgang til supplerende oplysninger.
  3. Kontekstuel identifikation, hvor datamønstre gør personer genkendelige.

Den indirekte vinkel er ofte afgørende: Hvis nøgler eller “oversættelser” holdes adskilt, og modtageren ikke har retlig adgang, taler det for anonymitet. Omvendt kan adgangsrettigheder, kontrakter eller tekniske koblinger tippe vurderingen.

Konsekvenser for deling, forskning og AI

For dataudveksling, hvor modtageren kun ser deldatasæt, kan flere behandlinger nu ske uden for GDPR, fordi modtageren ikke kan identificere. Det rejser nye spørgsmål om fx IP adresser, detaljerede statistikker og transaktionsdata, som i visse opsætninger kan anses som anonyme for modtageren.

Forskning og AI kan få gavn af klarere grænser: træning på datasæt uden realistisk identifikationsrisiko hos modtageren kan falde uden for GDPR. Organisationer bør dog dokumentere vurderingerne i DPIA’er, opdatere datadelingaftaler, adskille nøgler, og styrke tekniske og organisatoriske foranstaltninger for at undgå reidentificering.

Læs den første dom på EUR-Lex. Se den nyere afgørelse på Curia. Datatilsynets nyhed findes her.

Læs hele artiklen hos DAHL →
Søgeord
GDPR, EU Domstolen, Kunstig intelligens, Compliance program, Risikovurdering, Tekniske foranstaltninger, Databeskyttelsesloven, Datatilsynet, Behandlingsgrundlag, DPIA, Databeskyttelse, Dataansvarlig, Pseudonymisering, Anonymisering, AI governance, Kryptering, Personoplysninger, Databehandler, Datadeling, EUR Lex, Tredjelandsoverførsel, Organisatoriske foranstaltninger, Forskningsdata, IP adresser, Dataudveksling, International overførsel, Nøgleopbevaring, GDPR betragtning 26, Relativt persondatabegreb, Identifikationsrisiko, Lovlige midler, Rimelige midler, Reidentificering, Statistikdata, AI træning, CELEX 62020TJ0557, Pseudonymiserede personoplysninger

Relaterede artikler

Datatilsynet har undersøgt DR’s obligatoriske login
Datatilsynet

Datatilsynet har undersøgt DR’s obligatoriske login

Datatilsynet udtaler kritik af DR for at have opfordret DRTV-brugere til at angive deres navn i login-flowet i strid med dataminimering. Obligatorisk login accepteres med hjemmel i GDPR art. 6, stk. 1, litra e. DR har ændret praksis og beder nu om et profilnavn.
Mere nyt om EU-Domstolens afgørelse om pseudonymiserede personoplysninger
Datatilsynet

Mere nyt om EU-Domstolens afgørelse om pseudonymiserede personoplysninger

Pseudonymiserede data er fortsat personoplysninger i et databehandlerforhold, fastslår Datatilsynet med henvisning til EU-Domstolen i C-413/23. Vurderingen sker fra den dataansvarliges perspektiv. Brug til egne formål kræver lovlig videregivelseshjemmel hos den oprindelige dataansvarlige.
Opdateret temaside om skoler og daginstitutioner
Datatilsynet

Opdateret temaside om skoler og daginstitutioner

Datatilsynet udvider temasiden for skoler og daginstitutioner med praksisnære værktøjer og en omfattende FAQ. Vejledningen dækker samtykke, brug af billeder, indsigt, opbevaring og sikkerhed samt rollefordeling mellem dataansvarlige og databehandlere ved digitale læringsmidler.
Østre Landsret: Klage direkte til ledelsen gav ikke beskyttelse efter whistleblowerloven
Littler Danmark

Østre Landsret: Klage direkte til ledelsen gav ikke beskyttelse efter whistleblowerloven

Østre Landsret fastslår, at klager direkte til ledelsen ikke udløser beskyttelse efter whistleblowerloven. Beskyttelse kræver indberetning via interne eller eksterne whistleblowerkanaler eller lovlig offentliggørelse. Afgørelsen skærper fokus på klare procedurer i organisationer.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Fynbus
FynBus søger en juridisk leder til Jura
Fynbus
Lægemiddelstyrelsen
Jurastuderende til spændende opgaver med bl.a. kontrol af lægemiddelvirksomheder
Lægemiddelstyrelsen
Københavns Kommune
GDPR-jurist til Center for Digitalisering, Data og Analyse i Socialforvaltningen
Københavns Kommune
Lægemiddelstyrelsen
Jurastuderende til spændende opgaver med bl.a. kontrol af lægemiddelvirksomheder
Lægemiddelstyrelsen
Forsvarets Efterretningstjeneste
FE søger en erfaren kontorchef til Direktionssekretariatet
Forsvarets Efterretningstjeneste
Lægemiddelstyrelsen
Erfarne jurister til komplekse opgaver i spændingsfeltet mellem forvaltningsretten og lægemiddellovgivningen
Lægemiddelstyrelsen
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →