Datatilsynet fastholder databehandleraftaler ved pseudonymiserede data
Datatilsynet præciserer, at der fortsat skal indgås databehandleraftaler efter GDPR art. 28, selv når en databehandler kun modtager pseudonymiserede data og ikke med rimelige midler kan identificere de registrerede. Udmeldingen følger EU-Domstolens SRB-dom, som fastslog, at modtagere af pseudonymiserede oplysninger, der ikke kan identificere personerne, alene håndterer information – men at den dataansvarlige fortsat har oplysningspligt om videregivelsen. Se EU-Domstolens afgørelse i sag C-413/23 P.
Datatilsynet understreger, at vurderingen skal ske fra den dataansvarliges perspektiv, fordi denne har nøglen til (re)identifikation. Når en ekstern part behandler data efter instruks, er der tale om behandling af personoplysninger på den dataansvarliges vegne – uanset databehandlerens egen mulighed for identifikation. Læs Datatilsynets udmelding her.
Konsekvenser for praksis
For organisationer betyder det, at pseudonymisering ikke fritager fra kravet om en gyldig databehandleraftale med klare instrukser, sikkerhedskrav og tilsyn. Aftalen skal fortsat beskrive formål, behandlingsaktiviteter, underdatabehandlere, sletning og passende sikkerhedsforanstaltninger.
Det anbefales at kortlægge datastreams med pseudonymiserede datasæt, opdatere fortegnelser og sikre dokumenteret oplysningspligt om modtagere. Vurder også behovet for DPIA og risikobaserede tekniske og organisatoriske tiltag, herunder streng adskillelse af nøgler til reidentifikation. Samlet ændrer SRB-dommen ikke kontraktkravet, men skærper fokus på gennemsigtighed og den dataansvarliges ansvar.
