EU-domstolen förtydligade reglerna för behandling av pseudonymiserade uppgifter
Europeiska unionens domstol gav den 4 september ett avgörande i mål C-413/23 P, där domstolen tar ställning till begreppet personuppgifter. Domstolen klargör i sitt avgörande när pseudonymiserade uppgifter betraktas som personuppgifter. Pseudonymiserade uppgifter är inte nödvändigtvis personuppgifter i alla situationer, om uppgifterna är skyddade så att de inte kan kopplas till en viss person. Huruvida pseudonymiserade uppgifter fortfarande betraktas som personuppgifter kräver en situationsspecifik bedömning.
EU-domstolen konstaterar att pseudonymiserade uppgifter inte nödvändigtvis är personuppgifter om det inte är möjligt att koppla dem tillbaka till personen med någon metod som organisationen sannolikt har tillgång till. De metoder som varje organisation använder ska alltid bedömas från fall till fall.
När en organisation lämnar ut pseudonymiserade uppgifter till en annan organisation ska man bedöma om mottagaren av uppgifterna kan koppla uppgifterna till identifierbara personer. Om identifiering inte är möjlig betraktas inte pseudonymiserade uppgifter som personuppgifter ur mottagarens synvinkel.
Unionsdomstolen konstaterar dessutom att den personuppgiftsansvariges informationsskyldighet gäller personuppgifter i den form som uppgifterna är i innan de lämnas ut till en tredje part, det vill säga före en eventuell pseudonymisering. Domstolen bekräftade också i sitt avgörande att personliga åsikter ska betraktas som personuppgifter om de kan kopplas till en identifierbar person. Åsikterna beskriver personens tänkande och har därför ett nära samband med personen.
Bakom avgörandet låg en tvist mellan Europeiska datatillsynsmannen och gemensamma resolutionsnämnden SRB (Single Resolution Board). Aktieägare och borgenärer i en spansk bank hade klagat hos Europeiska datatillsynsmannen eftersom SRB inte hade meddelat dem att SRB överlåter uppgifter om dem till ett revisions- och konsultföretag. Det var fråga om kommentarer med personliga åsikter som aktieägarna och borgenärerna hade skickat till SRB. Uppgifterna hade pseudonymiserats innan de överlämnades vidare. Europeiska datatillsynsmannen konstaterade att SRB borde ha informerat personerna om utlämnandet av deras personuppgifter.
SRB överklagade Europeiska datatillsynsmannens beslut till Europeiska unionens tribunal, som upphävde beslutet. Europeiska unionens domstol har nu i sitt avgörande upphävt tribunalens dom och återförvisat målet till tribunalen för behandling.
Härnäst kommer dataombudsmannens byrå att bedöma konsekvenserna av avgörandet.
Mer information:
Meddelande från Europeiska unionens domstol på engelska (pdf-fil, curia.europa.eu)