EU-Domstolen: Pseudonymiserede oplysninger om fysiske personer er ikke altid personoplysninger for modtageren

Sagen kort fortalt

Den Fælles Afviklingsinstans (SRB) engagerede Deloitte til at vurdere konsekvenserne af afviklingen af Banco Popular Español for aktionærer og kreditorer. Som led heri videresendte SRB bemærkninger fra tidligere aktionærer og kreditorer i pseudonymiseret form til Deloitte.

Berørte registrerede (aktionærerne og kreditorerne) klagede efterfølgende til EDPS, som fandt, at SRB havde tilsidesat sin oplysningspligt ved ikke at have informeret de registrerede om, at oplysninger om dem ville blive videregivet til Deloitte. SRB indbragte EDPS’ afgørelse for Retten, der gav SRB delvist medhold. EDPS appellerede til EU-Domstolen, der nu har afsagt dom i sagen.

Hvad er EU-Domstolen kommet frem til?

1) Personlige udtalelser er personoplysninger

Udtalelser og holdninger er som udgangspunkt personoplysninger, fordi de som udtryk for en persons tænkning er tæt knyttet til ophavspersonen. Det er derfor ikke nødvendigt først at analysere udtalelsens indhold, formål eller effekt for at afgøre, om der er tale om en personoplysning.

2) Pseudonymisering: Status afhænger af konteksten

Pseudonymiserede oplysninger om fysiske personer er ikke automatisk personoplysninger for enhver modtager. Spørgsmålet afhænger af konteksten og af, hvem der modtager oplysningerne. Det afgørende er, om modtageren faktisk råder over midler til at (gen)identificere personen, herunder gennem krydstjek med andre datasæt. Hvis sådanne midler ikke er tilgængelige (og ikke realistisk kan bringes i anvendelse), kan oplysningerne for den modtager miste karakteren af personoplysninger. Omvendt vil de samme oplysninger typisk forblive personoplysninger for den dataansvarlige, som ligger inde med de nødvendige midler/supplerende oplysninger.

EU-Domstolen henviser i den forbindelse til sin tidligere praksis, herunder sag C-582/14, Breyer, ifølge hvilken, alle rimelige hjælpemidler skal tages i betragtning ved vurderingen af, hvornår en oplysning er en personoplysning.

3) Oplysningspligt: Vurderes ved indsamling – fra den dataansvarliges perspektiv

Oplysningspligten er en del af retsforholdet mellem den registrerede og den dataansvarlige og skal opfyldes på indsamlingstidspunktet. Vurderingen af, om en person er identificerbar i den sammenhæng, sker ud fra den dataansvarliges perspektiv — ikke ud fra en senere modtagers. Kan den dataansvarlige identificere den registrerede, skal de registrerede informeres om bl.a. potentielle modtagere, uanset at en fremtidig modtager (efter pseudonymisering) måske ikke vil kunne identificere dem. Det sikrer, at den registrerede kan træffe et informeret valg og håndhæve sine rettigheder.

Hvorfor er dommen vigtig?

Dommen er et væsentligt fortolkningsbidrag i forståelsen af betydningen af pseudonymisede oplysninger. EDPS støttet af EDPB gjorde gældende, at pseudonymiserede oplysninger skal anses for i alle tilfælde og for enhver at udgøre personoplysninger – uanset om modtageren kan identificere personerne. Domstolen kom imidlertid frem til, at de samme oplysninger kan være personoplysninger for én aktør (den dataansvarlige), men ikke for en anden (modtageren), hvis modtageren ikke med rimelige midler kan genidentificere personerne, oplysningerne drejer sig om. 

Samtidig slår dommen fast, at oplysningspligten består uændret: Den skal opfyldes ved indsamling og vurderes ud fra den dataansvarliges muligheder for identifikation—ikke modtagerens.