Ny sag fra EU-domstolen om brug af pseudonymiserede data
EU-Domstolen har i en nylig afgørelse præciseret, hvornår pseudonymiserede data skal betragtes som personoplysninger. Afgørelsen er af stor betydning, da den kan påvirke, hvordan virksomheder og organisationer behandler og skal beskytte personoplysninger.
Afgørelsen blev truffet af EU-Generaladvokaten i september 2020 og bekræftet af EU-Generaldomstolen i maj 2021. Den afgørelse handler om, hvorvidt pseudonymiserede data er at betragte som personoplysninger i henhold til EU's databeskyttelsesforordning (GDPR).
Baggrund for afgørelsen
Baggrunden for sagen var en tvist mellem en tysk skattemyndighed og en tysk borger. Skattemyndigheden havde modtaget pseudonymiserede data fra en bank, som var blevet pålagt at videregive oplysningerne i forbindelse med en skattesag. Borgeren anfægtede, at skattemyndigheden havde ret til at anvende og videregive disse oplysninger uden hans samtykke, og at de pseudonymiserede data var at betragte som personoplysninger.
EU-Generaldomstolen afgjorde, at pseudonymiserede data kan betragtes som personoplysninger, hvis det er muligt at identificere en person ud fra disse oplysninger med rimelige midler. Dette gælder, selvom navne og andre direkte personoplysninger er fjernet, og dataene er blevet krypteret eller pseudonymiseret.
Domstolen lagde vægt på, at det er vigtigt at tage hensyn til, om den, der behandler dataene, har adgang til yderligere oplysninger, som kan bruges til at identificere personen. Hvis det er tilfældet, kan pseudonymiserede data betragtes som personoplysninger, selvom identifikationen kræver en vis indsats og ekstra information.
Resumé af afgørelsen
Denne afgørelse er vigtig, fordi den præciserer, at virksomheder og organisationer skal tage højde for, om de pseudonymiserede data, de behandler, kan anvendes til at identificere en person. Hvis det er tilfældet, skal de stadig behandles som personoplysninger og overholde GDPR's regler om databeskyttelse.
Det er også værd at bemærke, at afgørelsen er i tråd med GDPR's overordnede principper om at beskytte personoplysninger og give den enkelte kontrol over sine data. GDPR fastsætter strenge krav til behandling af personoplysninger og pålægger blandt andet virksomheder og organisationer at indhente samtykke fra personerne, inden de indsamler og anvender deres data.
Det er vigtigt, at virksomheder og organisationer tager højde for denne afgørelse i deres databehandlingsprocedurer, og reviderer deres politikker og procedurer for at sikre, at de overholder GDPR's regler.
Afgørelsen kan også have betydning for den pågående diskussion om, hvorvidt anonymiserede data skal betragtes som personoplysninger eller ej. Anonymisering er en mere omfattende form for databeskyttelse end pseudonymisering, da det gør det umuligt at identificere enkeltpersoner. Men hvis pseudonymiserede data nu også anses for at være personoplysninger, kan det føre til en bredere definition af, hvad der betragtes som personoplysninger og dermed en mere omfattende beskyttelse af data.
Konklusion
Konklusionen er, at EU-domstolens afgørelse i sagen vil have stor betydning for virksomheder og organisationer, der håndterer persondata. Det understreger behovet for at anvende tilstrækkelige sikkerhedsforanstaltninger og beskyttelsesforanstaltninger for at minimere risikoen for at overtræde GDPR. Det er vigtigt, at virksomheder og organisationer tager hensyn til afgørelsen og overvejer deres databehandlingsmetoder for at sikre overholdelse af GDPR.