EU-Domstolens dom i C-413/23 fastslår, at identificerbarhed skal vurderes i den konkrete behandlingskontekst. Datatilsynet præciserer, at i et dataansvarlig-databehandler-forhold sker vurderingen fra den dataansvarliges perspektiv. Pseudonymiserede oplysninger forbliver derfor personoplysninger, når de behandles på den dataansvarliges vegne, fordi denne råder over formål og midler og ofte besidder koblingsnøglen.
Datatilsynets præcisering
Databehandlerens tekniske, juridiske eller kontraktuelle muligheder for reidentifikation er uden betydning for kvalifikationen i denne kontekst, da databehandleren alene må handle efter instruks. Dermed består personoplysningsstatus, selv om databehandleren ikke selv kan identificere den registrerede.
Ønsker en databehandler at anvende de pseudonymiserede oplysninger til egne formål, bliver denne ny dataansvarlig. Den oprindelige dataansvarlige skal da have et gyldigt behandlingsgrundlag til at videregive personoplysningerne, også hvor data i den nye kontekst muligvis ikke længere udgør personoplysninger. Læs Datatilsynets tidligere nyhed her: Ny afgørelse fra EU-Domstolen om pseudonymiserede personoplysninger. Læs dommen på engelsk her: Curia. Læs dommen på dansk her: Curia.
Praktiske konsekvenser
Dataansvarlige bør gennemgå rollefordeling, databehandleraftaler og instrukser for at sikre, at pseudonymiserede datasæt behandles som personoplysninger i processor-forhold. Dokumentér adgang til koblingsnøglen og klar formålsbestemmelse.
Planlægges brug til egne formål hos databehandleren, skal der etableres udtrykkelig videregivelseshjemmel, opdaterede aftaler og sporbarhed for den nye kontekst. Det mindsker risikoen for overtrædelser og efterfølgende håndhævelse.
