Leder
Illustrasjon: Colourbox.com
Pseudonymisering af personoplysninger har altid været en væsentlig foranstaltning i beskyttelsen af behandlingssikkerheden. Betydningen af effektiv pseudonymisering af personoplysninger er gennem de seneste år kun vokset i takt med introduktionen af AI og big data analyse, hvor behandling af store mængder data er afgørende, og som konsekvens af behovet for supplerende foranstaltninger i forbindelse med tredjelandsoverførsler.
Som det også gør sig gældende med anonymisering, har pseudonymisering for mange virksomheder og organisationer været set som vejen til at realisere den brug af data, der ellers forekom umulig inden for rammerne af GDPR.
SRB-afgørelsen
Derfor var der også mange, der med glæde noterede sig Rettens afgørelse den 26. april 2023 i sagen T-557/20, som omhandlede omstruktureringen af Banco Popular under tilsyn af Den Fælles Afviklingsinstans (SRB). I denne sag blev Deloitte udpeget af SRB til at bistå i en høringsproces med berørte kreditorer og aktionærer. SRB tildelte en unik kode til hver kommentar modtaget i processen, og delte et begrænset datasæt med Deloitte, som kun SRB kunne forbinde til de berørte kreditorer.
Nogle kreditorer og aktionærer klagede til Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) over, at SRB ikke havde informeret dem om, at deres personoplysninger kunne blive delt med tredjeparter som Deloitte. EDPS var enig i klagen, men SRB appellerede afgørelsen til Domstolen. Domstolen fastslog, at for at vurdere, om dataene var effektivt anonymiserede, skulle man overveje de identificeringsmidler, der med rimelighed kunne anvendes af både dataansvarlige og andre parter, i tråd med CJEU’s afgørelse i Patrick Breyer-sagen (C-582/14). Retten bemærkede også, at man skulle vurdere, om Deloitte havde de juridiske midler til rådighed, der i praksis ville gøre det muligt at få adgang til de nødvendige oplysninger for at reidentificere forfatterne af kommentarerne.
Selv om afgørelsen er blevet appelleret af EDPS til Den Europæiske Unions Domstol (CJEU), var der mange, der så en mulighed i pseudonymisering som vejen til at opnå en mere fleksibel brug og deling af data.
EDPB’s nye retningslinjer
Det Europæiske Databeskyttelsesråd (EDPB) vedtog den 16. januar 2025 nye retningslinjer for pseudonymisering. Retningslinjerne præciserer, at pseudonymisering indebærer behandling af personoplysninger, så de ikke kan henføres til en specifik person uden supplerende oplysninger, som skal opbevares separat og sikkert. Retningslinjerne opdeler dette i tre komponenter: muligheden for at henføre oplysninger, brugen af supplerende oplysninger og adskillelsen af supplerende oplysninger ved tekniske og organisatoriske foranstaltninger.
EDPB cementerer endvidere, at pseudonymiserede personoplysninger, som kan henføres til en person ved brug af supplerende oplysninger, forbliver oplysninger om en identificerbar fysisk person og er derfor stadig personoplysninger, herunder hvis oplysningerne kan henføres til en person af den dataansvarlige.
Det er således svært ikke at læse retningslinjerne som et indspark i den verserende SRB-sag og et opgør med Rettens betragtninger om, at henførbarheden af personoplysninger skal vurderes subjektivt ud fra modtagerens mulighed for at reidentificere datasubjektet.
Retningslinjerne understreger dog væsentligheden af pseudonymisering som foranstaltning, og hvordan dataansvarlige kan benytte pseudonymisering som en teknisk og organisatorisk foranstaltning til at opfylde kravene om dataminimering og sikre balancen mellem datasubjekternes rettigheder og den dataansvarliges legitime interesser.
Retningslinjerne er dog ikke uden udfordringer, især for små og mellemstore virksomheder. For mange virksomheder kan det være en udfordring at forstå de tekniske aspekter af de anbefalede pseudonymiseringsteknikker og implementere disse teknikker.
Retningslinjerne kræver, at virksomhederne foretager en grundig risikovurdering og vælger passende tekniske og organisatoriske foranstaltninger for at sikre, at pseudonymiserede data ikke kan henføres til enkeltpersoner. Dette betyder, at virksomhederne skal have en detaljeret forståelse af alle aktører inden for pseudonymiseringsdomænet og forstå de retslige og tekniske midler, som aktørerne har til rådighed og vil kunne anvende til at reidentificere datasubjekter.
Retningslinjerne indeholder også en række eksempler, der illustrerer anvendelsen af pseudonymisering i forskellige sektorer, såsom medicinsk forskning og markedsføring.
Kompleksiteten i retningslinjerne rejser dog spørgsmål om, hvorvidt små og mellemstore virksomheder har de nødvendige kapaciteter til at implementere de anbefalede teknikker og foretage de risikovurderinger, der er nødvendige i brugen af pseudonymiseringsteknikker.
Det kan dog konkluderes, at EDPB med retningslinjerne understreger betydningen af pseudonymisering som en væsentlig foranstaltning der kan hjælpe dataansvarlige til at opfylde flere krav under Databeskyttelsesforordningen. For databeskyttelsesjuristen er pseudonymisering derfor også et vigtigt værktøj i værktøjskassen og en teknisk disciplin, der er nødvendig at mestre.
