Kaare M. Risung
Øyvind Eidissen
Anna Eide
Sofia Studencki
Ane Rode
Oskar Engman
Thomas Hagen
Paal-André Storesund
Ole G. Klevan
Afgrænsning af personoplysninger ved pseudonymisering
EU-Domstolen præciserer, at vurderingen af om pseudonymiserede data er personoplysninger, er relativ og knyttet til de realistisk tilgængelige midler hos den konkrete aktør. En teoretisk mulighed for genidentifikation er ikke tilstrækkelig i sig selv.
Afgørelsen, der formelt vedrører EU-institutioners behandlingsregler, har klar overførselsværdi til GDPR-principperne. Det skærper behovet for dokumenteret risikovurdering af identifikationsmuligheder hos både afsender og modtager.
Oplysningspligt og praktiske konsekvenser
Domstolen fastslår, at oplysningspligten kan gælde, selv når oplysninger er pseudonymiserede, hvis den registrerede fortsat kan identificeres med rimelige midler. Dataansvarlige skal derfor sikre passende transparens og opdaterede privatlivsmeddelelser.
I praksis bør organisationer kortlægge hvilken part der besidder nøgler eller supplerende data, vurdere sandsynlighed og byrde ved genidentifikation samt justere kontrakter og tekniske foranstaltninger. Samtidig bør behandlingsgrundlag og ansvarlighedsprincip dokumenteres for at kunne understøtte den valgte kvalifikation af data.
