Hvornår er pseudonymiserede data omfattet af GDPR?

Efter SRB kræves en konkret vurdering af, om modtageren faktisk har retlige midler til at re-identificere. IMY antager derimod, at re-identifikation kan forudsættes for at undgå at indskrænke GDPR’s beskyttelsesområde.

Hvad betyder IMY’s Google Analytics-afgørelser for tredjelandsoverførsler?

Anvendelse af Google Analytics indebærer overførsel af personoplysninger, som udløser krav efter kapitel V. Dataansvarlige skal sikre et gyldigt overførselsgrundlag og passende supplerende foranstaltninger.

Hvilke compliance-tiltag bør virksomheder prioritere nu?

Gennemfør og dokumentér overførselsvurderinger, anvend SCC, implementér tekniske og organisatoriske foranstaltninger og revurder brugen af tracking, hvis risici ikke kan afbødes. Følg løbende vejledning fra tilsynsmyndigheder.

Schjødt

New developments on the GDPR definition of "personal data": Swedish DPA decides against new case from the CJEU in 4 recent decisions on Google Analytics

Compliance EU-ret Persondata og cybersikkerhed

IMY går i fire Google Analytics-sager imod EU-Domstolens SRB-linje og forudsætter, at tredjeparter kan re-identificere brugere. Det skærper vurderingen af, hvornår data er personoplysninger, og øger kravene til lovlige tredjelandsoverførsler og supplerende foranstaltninger.

Eva Jarbekk

Jeppe Songe-Møller

Inge Kristian Brodersen

Kaare M. Risung
Øyvind Eidissen
Anna Eide
Oskar Engman
Paal-André Storesund
Christopher Tehrani
Sanna Wolk
Katarina Foss-Solbrekk

Den svenske databeskyttelsesmyndighed IMY har truffet fire afgørelser om brugen af Google Analytics. Sagerne vurderer både, om der sker overførsel af personoplysninger til tredjelande, og om sådanne overførsler opfylder kravene i GDPR kapitel V.

Definition af personoplysninger og identifikationskravet i GDPR

Et nøglepunkt er, hvornår data gør en fysisk person identificerbar. I SRB-sagen udtalte EU-Domstolens Ret, at en myndighed ikke kan lægge identifikationsmulighed til grund uden først at undersøge, om den modtagende tredjepart faktisk har retlige midler til at få adgang til supplerende oplysninger.

IMY anlægger derimod en bredere tilgang og mener, at en tredjeparts mulighed for re-identifikation som udgangspunkt kan forudsættes. Begrundelsen er at undgå en betydelig indskrænkning af GDPR’s beskyttelsesområde og potentielle omgåelsesmuligheder, hvilket i praksis udvider persondata-begrebet.

Konsekvenser for tredjelandsoverførsler og Google Analytics

IMY konkluderer, at brug af Google Analytics indebærer overførsel af personoplysninger og dermed udløser kapitel V-krav. Onlineidentifikatorer og IP-adresser, der indsamles via cookies, anses i den sammenhæng som personoplysninger, fordi de kan knyttes til enkeltpersoner.

Dataansvarlige skal derfor foretage overførselsvurderinger, anvende passende overførselsgrundlag som standardkontraktbestemmelser og etablere supplerende tekniske og organisatoriske foranstaltninger. Kan risikoen for re-identifikation ikke afbødes, bør overførslen suspenderes eller værktøjet udskiftes.

Retlig usikkerhed og compliance-tiltag

SRB er anket, og en af IMY’s sager er indbragt for svensk domstol. Indtil en endelig afklaring af identifikationskriteriet foreligger, består der retlig usikkerhed om rækkevidden af persondata-begrebet.

Virksomheder bør i mellemtiden dokumentere identifikationsvurderinger, transfer impact assessments og valgte foranstaltninger, opdatere governance for cookies og tracking samt løbende følge vejledning fra tilsynsmyndigheder.

Læs hele artiklen hos Schjødt →

Søgeord