Ny EU- afgørelse kan få stor indflydelse på dataoverførsler

Ny EU- afgørelse kan få stor indflydelse på dataoverførsler

Compliance EU-ret Persondata og cybersikkerhed
EU-Domstolen fastslår, at pseudonymiserede data ikke nødvendigvis er personoplysninger for modtageren, hvis reidentifikation ikke er realistisk. Afgørelsen kan lette dataudveksling, men kræver streng nøgleadskillelse, stærk kryptering og dokumenteret risikovurdering.
Mads Balle Christensen
Mads Balle Christensen

Afgørelsens kerne

EU-Domstolen præciserer, at pseudonymiserede oplysninger ikke nødvendigvis er personoplysninger for en modtager, hvis modtageren realistisk set ikke har adgang til de midler, der kræves for at identificere de berørte personer. Sagen udsprang af dataudveksling i forbindelse med afviklingen af Banco Popular, hvor SRB sendte et pseudonymiseret datasæt til en rådgiver. For afsenderen var oplysningerne personhenførbare, men modtageren havde ikke selvstændig adgang til de supplerende oplysninger, der skulle til for at koble svar til enkeltpersoner.

Dommen bekræfter sondringen mellem pseudonymisering og anonymisering og gør den kontekstuel: Vurderingen afhænger af den konkrete modtager. Er reidentifikation for modtageren praktisk, retligt og teknisk urealistisk med rimelige midler, kan data for den modtager betragtes som anonyme og falde uden for GDPR.

Praktiske konsekvenser

Afgørelsen kan lette forsvarlig dataudveksling, herunder til tredjelande, når modtageren ikke kan reidentificere data. Det kræver dog en dokumenteret, modtagerbaseret vurdering af identifikationsrisikoen samt robuste tekniske, organisatoriske og retlige barrierer. Vurderingen er konkret og skal løbende revurderes.

For at nærme sig anonymisering for modtageren bør virksomheder som minimum sikre følgende foranstaltninger og dokumentation:

  • Streng separation af nøgler og koblingslister, så modtageren ikke har adgang til supplerende oplysninger.
  • Stærk kryptering, adgangskontrol og andre tekniske kontroller, der effektivt hindrer reidentifikation.
  • Kontraktuelle og retlige begrænsninger, der gør modtagers adgang til koblingsnøgler urealistisk og ulovlig.
  • En risikobaseret analyse og test af reidentifikationsmuligheder samt opdaterede DPIA’er og logning.

Hvis data for modtageren reelt er anonyme, finder GDPR ikke anvendelse for modtagerens behandling, og pligter som oplysningspligt og overførselsmekanismer aktiveres som udgangspunkt ikke. Omvendt kræver enhver tvivl en konservativ tilgang: Kan modtageren med rimelige midler opnå adgang til koblingsoplysninger, skal reglerne om personoplysninger iagttages, herunder passende behandlingsgrundlag, sikkerhedsforanstaltninger og eventuelle overførselsgrundlag.

Læs hele artiklen hos TVC Advokatfirma →
Søgeord
GDPR, Risikovurdering, Informationssikkerhed, Datatilsynet, Behandlingsgrundlag, DPIA, Databeskyttelse, Tredjelandsoverførsler, Standardkontraktbestemmelser, Dataansvarlig, Pseudonymisering, Anonymisering, Dataminimering, Kryptering, EDPB, Personoplysninger, Oplysningspligt, Formålsbegrænsning, Databehandler, Tilsynsmyndighed, Tekniske og organisatoriske foranstaltninger, Adgangskontrol, Compliance, Eu ret, Dataudveksling, Nøgleopbevaring, Retspraksis EU, Single Resolution Board, Modtagerperspektiv, Modtagerbaseret vurdering, Relativ identifikationsrisiko, Reidentifikation, Separering af nøgler, Bankafvikling, Finansiel krisehåndtering, Pseudonymiseringsteknikker

Relaterede artikler

Designregistrering var afgørende: Dansk virksomhed dømmes for kopi af populær Skechers-skoserie
TVC Advokatfirma

Designregistrering var afgørende: Dansk virksomhed dømmes for kopi af populær Skechers-skoserie

Sø- og Handelsretten fastslog krænkelse af fire registrerede EF-designs tilhørende Skechers, men afviste nærgående efterligning efter markedsføringsloven. Dommen udløste forbud, destruktion og erstatning og viser, at målrettet designregistrering kan være afgørende for effektiv håndhævelse.
Retssikkerhedsanalysen: Øget overvågning presser borgernes retssikkerhed
Advokatsamfundet

Retssikkerhedsanalysen: Øget overvågning presser borgernes retssikkerhed

Øget adgang til teledata, nummerpladescannere og ansigtsgenkendelse vægter tungt i advokaters og borgeres vurdering af en faldende retssikkerhed. Samtidig presser lange ventetider og hastelovgivning systemet. Der efterlyses klar hjemmel, proportionalitet, tilsyn og bedre ressourcer i straffesagskæden.
Mere nyt om EU-Domstolens afgørelse om pseudonymiserede personoplysninger
Datatilsynet

Mere nyt om EU-Domstolens afgørelse om pseudonymiserede personoplysninger

Pseudonymiserede data er fortsat personoplysninger i et databehandlerforhold, fastslår Datatilsynet med henvisning til EU-Domstolen i C-413/23. Vurderingen sker fra den dataansvarliges perspektiv. Brug til egne formål kræver lovlig videregivelseshjemmel hos den oprindelige dataansvarlige.
Lovforslag om lempelse af de nye regler for brug af samleklientbankkonto – og orienteringsmøder
Advokatsamfundet

Lovforslag om lempelse af de nye regler for brug af samleklientbankkonto – og orienteringsmøder

Nyt lovforslag præciserer, at advokater ikke skal identificere reelle ejere af juridiske personer ved brug af samleklientbankkonto. Pligten til at indhente og dele identitetsoplysninger om fysiske og juridiske personer består. Ikrafttrædelse forventes 1. januar 2026.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Fynbus
FynBus søger en juridisk leder til Jura
Fynbus
Forsvarets Koncernfælles Informatiktjeneste (FKIT)
Udbudskonsulenter til Sourcing Divisionen
Forsvarets Koncernfælles Informatiktjeneste (FKIT)
Københavns Kommune
GDPR-jurist til Center for Digitalisering, Data og Analyse i Socialforvaltningen
Københavns Kommune
Lægemiddelstyrelsen
Jurastuderende til spændende opgaver med bl.a. kontrol af lægemiddelvirksomheder
Lægemiddelstyrelsen
Lægemiddelstyrelsen
Jurastuderende til spændende opgaver med bl.a. kontrol af lægemiddelvirksomheder
Lægemiddelstyrelsen
Lægemiddelstyrelsen
Erfarne jurister til komplekse opgaver i spændingsfeltet mellem forvaltningsretten og lægemiddellovgivningen
Lægemiddelstyrelsen
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →