EU-Domstolen gør op med, hvornår pseudonymiserede data skal betragtes som personoplysninger
I en nylig afgørelse har Retten kastet lys over et centralt spørgsmål inden for databeskyttelse - hvornår skal pseudonymiserede data anses for at være personoplysninger?
Rettens afgørelse af 26. april 2023, i sag T-557/20 mellem SRB og EDPS, fastslår at, hvis en datamodtager ikke har midlerne til at genidentificere den registrerede person, vil pseudonymiserede data ikke blive betragtet som personoplysninger. Retten præciserede også, at personlige synspunkter og meninger ikke automatisk kan anses for at være personoplysninger; der kræves en konkret vurdering i hver enkelt sag.
Sagen opstod som følge af en aktionærundersøgelse, hvor Single Resolution Board (SRB) via en elektronisk formular indsamlede synspunkter og meningstilkendegivelser, som blev delt med et konsulentfirma. SRB havde, for at beskytte respondenternes identitet, erstattet navnene ved hjælp af alfanumeriske koder. Afkodningsnøglen, der kunne knytte koderne til individuelle respondenter, blev ikke delt med konsulentfirmaet.
Efter en række klager fra respondenter i undersøgelsen vurderede Den Europæiske Tilsynsførende for Databeskyttelse (EDPS), at SRB havde delt pseudonymiserede personoplysninger uden at informere de berørte personer om denne deling. SRB appellerede afgørelsen til Retten og argumenterede for, at de delte data ikke opfyldte betingelserne for at være personoplysninger i henhold til GDPR. For at kvalificere sig som personoplysninger efter GDPR skal data ”relatere” sig til en fysisk person, og denne person skal være ”identificeret eller identificerbar”. SRB appellerede til Retten og afviste EDPS’ afgørelse om, at de delte undersøgelsesdata opfyldte disse kumulative betingelser.
Retten præciserede, i tråd med Breyer-sagen (C-582/14), at vurderingen af, om data er pseudonymiserede eller anonymiserede, skal tage højde for omstændighederne hos den part, der er i besiddelse af dataene.
Retten fandt, at hvis datamodtageren ikke har yderligere afkodningsoplysninger, der gør det muligt at genidentificere de registrerede personer, og ikke har nogen retlige midler til at få adgang til sådanne oplysninger, kan de delte data betragtes som anonymiserede og derfor ikke som persondata. Det faktum, at dataafsenderen har midler til at genidentificere de registrerede personer, er irrelevant og betyder ikke, at de delte data automatisk også er persondata for modtageren. Retten fastlog, at selvom personlige synspunkter og meninger kan udgøre personoplysninger, kan de ikke per automatik formodes at indeholde personoplysninger. En konkret vurdering fra sag til sag er nødvendig for at afgøre, om et synspunkt eller en udtalelse faktisk er knyttet til en identificerbar person.
Denne afgørelse fra Retten er et opgør med den hidtidige praksis under både databeskyttelsesdirektivet og -forordningen, og giver en række perspektiver på, hvordan vi skal forstå sikkerhedsforanstaltninger, som både pseudonymisering, anonymisering og kryptering. Det er samtidig vigtigt at have for øje, at vi står ved begyndelsen af en spændende rejse, hvor teknologien hastigt udvikler sig, og nye metoder til genidentifikation kan opstå. Afgørelsen skaber et spændende grundlag for at følge, hvordan den teknologiske udvikling kan forme databeskyttelseslovgivningen og vores forståelse af pseudonymisering. Hvad der i dag anses for at være tilstrækkeligt pseudonymiserede data, kan i fremtiden måske nemt genidentificeres.