IT-JUSS | Haakon Føyen
Ny EU-dom endrer synet på personopplysninger
EU-domstolen fastslår at pseudonymiserte data ikke alltid er personopplysninger for alle. Vurderingen beror på mottakerens faktiske og rettslige mulighet til å re-identifisere. Det åpner et større handlingsrom for deling og utfordrer de etablerte retningslinjene fra Personvernrådet (EDPB).
Den 4. september 2025 avsa EU-domstolen dom i EDPS v SRB (C-413/23 P). Domstolen stadfester at hvorvidt pseudonymiserte data er «personopplysninger» må vurderes relativt: Hva kan den konkrete mottakeren med rimelige midler gjøre for å identifisere en fysisk person? Saken oppstod under forordning 2018/1725 for EU-institusjoner, men bygger på samme begreper som GDPR og skal forstås likt.
Personopplysninger eller ikke
Vurderingen av hva som er personopplysninger har lenge vært en kilde til usikkerhet for bedrifter som ønsker å bruke eller dele data til analyse eller forskning. Et sentralt spørsmål har vært om personopplysninger hvor identifikatorer fjernes slik at andre ikke kan identifisere individer, skal anses som personopplysninger også for de som ikke kan identifisere hvem opplysningene gjelder. Slik pseudonymisering gjør at den som avidentifiserer kan sitte på nøkler eller kontekst til datasettet som gjør at de kan re-identifisere individer, mens den som mottar opplysningene ikke kan identifisere personene uten ekstreme tiltak (f.eks. på ulovlig måte skaffe den manglende informasjonen).
Dersom opplysningene er å regne som personopplysninger også for mottakeren, så oppstår en rekke krav og begrensninger i personvernlovgivningen allerede ved innsamlingstidspunktet for behandlingsansvarlig. F.eks. krav om å informere individer om hvem opplysningene deles med.
Personvernrådet og tilsynsmyndigheter har i lengre tid lagt til grunn en streng linje. Så lenge data kan tilskrives en fysisk person ved bruk av tilleggsinformasjon, skal de som klar hovedregel regnes som personopplysninger. Dette gjelder, ifølge EDPB sine retningslinjer, også for mottakere som ikke har nødvendig tilleggsinformasjonen til å kunne identifisere individer i opplysningene. EU-domstolens nye avklaring legger til grunn en annen forståelse enn den som følger av EDPB sine nåværende retningslinjer.
Schrödingers opplysninger
Dette betyr at et datasett kan være personopplysninger for bedrift A, som er den opprinnelige behandlingsansvarlige og sitter på nøkkelen som kan re-identifisere individene. Samtidig er det samme datasettet ikke personopplysninger for bedrift B, mottakeren, dersom bedrift B ikke med rimelige midler kan skaffe seg tilgang til nøkkelen eller på annen måte identifisere personene bak dataene.
Nye muligheter for datadeling
For næringslivet gir dommen et økt handlingsrom.
For næringslivet gir dommen et økt handlingsrom. Bedrifter kan nå i større grad dele pseudonymiserte datasett med samarbeidspartnere for formål som statistikk, kunstig intelligens og innovasjon, uten at mottakeren nødvendigvis må forholde seg til strenge krav i personvernlovgivningen. Det blir spennende å se hvordan denne nye praksisen utarter seg og hvordan tilsynsmyndighetene tilpasser seg den nye rettstilstanden.
