logo
AktueltEU-domstolen: Pseudonymiserte data er ikke alltid personopplysninger

EU-domstolen: Pseudonymiserte data er ikke alltid personopplysninger

EU-domstolen har nylig avsagt en prinsipielt viktig dom i en sak mellom European Data Protection Supervisor («EDPS») og Single Resolution Board («SRB») (sak C-413/23 P), som kan få stor betydning for vurdering av personopplysningsbegrepet i forbindelse med pseudonymiserte data. Dommen klargjør når pseudonymiserte data ikke lenger skal anses som personopplysninger, og hvilke momenter som er styrende for vurderingen. Avklaringene kan få stor betydning for virksomheter omfattet av GDPR. I dette nyhetsbrevet ser vi nærmere på hvilke konkrete avklaringer – samt hvilke praktiske konsekvenser – dommen fører med seg.

Bakgrunn

SRB er et sentralt byrå i EUs bankunion, som blant annet har som ansvar for å bistå banker i økonomisk krise. Etter oppløsningen av den spanske banken Banco Popular i 2017, samlet SRB inn kommentarer fra aksjonærer og kreditorer i forbindelse med oppløsningen, før SRB delte disse kommentarene i pseudonymisert form med Deloitte for analyseformål. Før oversendelsen hadde SRB erstattet avsenderidentiteten med numeriske koder. Deloitte var dermed i besittelse av pseudonymiserte kommentarer, mens det kun var SRB som hadde nøkkelen som koblet kodene til avsenderne.

Enkelte av de som hadde gitt sine kommentarer, klaget SRB inn til EDPS for brudd på informasjonsplikten. SRB argumenterte på sin side med at kommentarene som ble delt var pseudonymiserte data og ikke personopplysninger. Ved behandlingen av saken kom EDPS til at SRB hadde handlet i strid med forordning (EU) 2018/1725, som regulerer hvordan EU-institusjoner skal behandle personopplysninger. EDPS’ avgjørelse ble senere satt til side av EUs generaldomstol i 2023, før EDPS anket saken til EU-domstolen. EU-domstolen avsa sin avgjørelse 4. september 2025.

Et av de sentrale spørsmålene i anken var hvorvidt de pseudonymiserte kommentarene som ble delt fra SRB til Deloitte var å anse som personopplysninger. Forordning (EU) 2018/1725 pålegger EU-institusjoner tilsvarende forpliktelser som i EUs personvernforordning (GDPR). Avklaringene i dommen har derfor tilsvarende relevans for forståelsen av GDPR.

Et relativt personopplysningsbegrep – pseudonymiserte data er ikke alltid personopplysninger

De to prinsipielt interessante spørsmålene i saken er for det første om pseudonymisering av personopplysninger kan innebære at de ikke lenger anses som personopplysninger for mottakeren, og for det andre hvilken grad av pseudonymisering og hvilke tiltak som kreves for at re-identifisering ikke lenger er praktisk mulig.

For sistnevnte spørsmål har det tradisjonelt vært to ulike innfallsvinkler. Enkelte har ment at pseudonymiserte data fremdeles vil utgjøre personopplysninger dersom det objektivt sett foreligger tekniske og/eller praktiske muligheter for at individene som opplysningene gjelder kan re-identifiseres. En slik innfallsvinkel bygger på en absolutt tilnærming til personopplysningsbegrepet, og det var denne innfallsvinkelen EDPS argumenterte for i saken.

Motsetningsvis har andre ment at muligheten for re-identifisering av individer må vurderes ut fra mottakerens konkrete muligheter for re-identifikasjon, slik at det må anlegges et relativt personopplysningsbegrep.

På prinsipielt grunnlag slår EU-domstolen fast at pseudonymiserte data ikke alltid skal anses som personopplysninger, og at det må legges til grunn en kontekstuell og risikobasert tilnærming ved vurderingen av om pseudonymiserte data faller innenfor personopplysningsbegrepet.

EU-domstolen fremhever at vurderingen av identifiserbarhet må ta utgangspunkt i "alle midler som med rimelighet kan forventes å bli brukt av den behandlingsansvarlige eller en annen person" for å identifisere individer. Dette skal vurderes ut fra objektive faktorer, slik som blant annet. tilgjengelige ressurser og den teknologiske utviklingen. Vurderingen må derfor gjøres helt konkret i hvert enkelt tilfelle, med fokus på om mottakeren faktisk kan re-identifisere individer.

Domstolen understreker videre at dersom avsenderen iverksetter effektive tiltak innenfor disse rammene som forhindrer re-identifisering ved oversendelse av pseudonymiserte data, vil de pseudonymiserte dataene falle utenfor personopplysningsbegrepet. Dermed kan ett og samme datasett være personopplysninger for én aktør, men ikke for en annen, avhengig av mottakerens faktiske muligheter for re-identifisering. I den aktuelle saken var det et viktig moment at kun SRB hadde tilgang til de numeriske kodene for identifisering, slik at opplysninger som var personopplysninger for SRB ikke nødvendigvis var det samme for Deloitte.

Den praktiske konsekvensen av avgjørelsen er at det blir enklere for behandlingsansvarlige å dele opplysninger seg imellom, forutsatt at den behandlingsansvarlige som deler de pseudonymiserte dataene har iverksatt tilstrekkelig effektive tiltak. Samtidig gir avgjørelsen ingen konkrete eksempler på hvilke tiltak som i tilstrekkelig grad vil forhindre re-identifisering for mottakeren. Det blir derfor interessant å se hvordan virksomheter vil bruke det handlingsrommet dommen gir, og hvilke tiltak som vil vurderes som tilstrekkelige av personvernmyndighetene.

Informasjonsplikten skal vurderes fra behandlingsansvarliges perspektiv

Selv om EU-domstolens avklaringer rundt pseudonymisering og personopplysningsbegrepet kan bidra til forenklet behandling og deling, kommer domstolen også med noen viktige avklaringer knyttet til personvernregelverkets anvendelse forut for pseudonymisering.

I denne saken slo EU-domstolen fast at SRB hadde brutt informasjonsplikten ved at de ikke hadde informert i sin personvernerklæring om deling av personopplysninger med Deloitte. Domstolen understreker i denne sammenheng at informasjonsplikten oppstår ved innsamling av personopplysninger, og at plikten skal vurderes fra den behandlingsansvarliges perspektiv. Det betyr at

  • behandlingsansvarlig må gi tilstrekkelig informasjon om planlagte, fremtidige datadelinger, og
  • informasjon må gis selv om opplysningene planlegges delt i pseudonymisert form, ettersom de pseudonymiserte opplysningene i praksis er personopplysninger for den behandlingsansvarlige som sitter på nøkkelen til re-identifisering.

Veien videre og våre anbefalinger

Avgjørelsen åpner for at behandlingsansvarlige kan iverksette tiltak for å forhindre at data omfattes av personvernregelverket, noe som i praksis vil kunne forenkle datadeling mellom behandlingsansvarlige. Samtidig reiser avgjørelsen flere praktiske spørsmål: Når er pseudonymiseringen god nok, hvilke terskler gjelder for hva som med rimelighet kan forventes brukt for re-identifisering, og hvordan vil tilsynsmyndighetene vurdere virksomheters interne vurderinger?

Det er den enkelte behandlingsansvarliges ansvar å vurdere hvorvidt pseudonymiserte opplysninger er re-identifiserbare, og dermed om de faller inn under personopplysningsbegrepet slik at behandlingen er omfattet av GDPR. Vi anbefaler derfor at bedrifter på generelt grunnlag gjennomfører og dokumenterer grundige vurderinger i forbindelse med innsamling, lagring og deling av pseudonymiserte data. I tillegg bør bedrifter være særlig oppmerksomme på at informasjonsplikten er ivaretatt, også for pseudonymiserte data.

Vi i Arntzen Grette har solid erfaring og kompetanse på området, og bistår gjerne med å gjennomføre nødvendige vurderinger og sørge for at virksomhetens behandling og deling av data er i samsvar med lovens krav.

Kontaktpersoner
Trine Hammervold
Trine Hammervold
trh@arntzen.no
Christopher Hestnes
Christopher Hestnes
che@arntzen.no
Sigurd Fjærtoft-Andersen
Sigurd Fjærtoft-Andersen
sif@arntzen.no