”Vi oplever, at der mange steder er en opfattelse af, at næsten al data er persondata, da der altid er en teoretisk mulighed for at kunne identificere en person på baggrund af data. F.eks. gennem et kundenummer, en IP-adresse eller en kode for en patient,” fortæller Tim Krarup Nielsen, certificeret IT-advokat og partner i DAHL Advokatpartnerselskab.
Men den opfattelse ændres nu.
En ny afgørelse fra EU-domstolen gør nemlig op med den tolkning og slår fast, at selvom der måske er tale om persondata for afsenderen, så kan selvsamme data godt være anonymt for modtageren.
Hvorfor er det interessant, om persondata er anonymiseret?
Alle persondata er underlagt EU’s databeskyttelsesregler, herunder GDPR. Hvis persondata derimod er anonymiseret, gælder persondataforordningen dog ikke, og der er derfor heller ikke underlagt begrænsninger i forhold til f.eks. videregivelse eller databehandling udenfor EU.
Med andre ord er det væsentligt nemmere og billigere at behandle anonyme data fremfor persondata.
”Dommen kan have vidtrækkende konsekvenser, for der findes rigtigt mange situationer, hvor to virksomheder deler data, men hvor modtageren kun får en del af det samlede datasæt og dermed ikke kunne identificere specifikke personer,” siger Tim.
Her er baggrunden for dommen
Sagen handler om en bank, der var under rekonstruktion. Som en del af dette, kunne aktionærer og investorer ved at oplyse deres identitet indsende bemærkninger til værdiansættelsen, og dermed blev kommentarerne til persondata.
Alle bemærkningerne blev samlet af den myndighed, der administrerede rekonstruktionen, men der var behov for at udlevere disse til et eksternt revisionsfirma, så de kunne verificere værdiansættelsen af banken.
Identitetsoplysningerne blev udskiftet med en 33-tegns ID-nøgle, inden de blev udleveret til det eksterne revisionsfirma, så de ikke havde adgang til de konkrete personoplysninger på dem, der stod bag de forskellige kommentarer.
Myndigheden, der administrerede rekonstruktion, havde som de eneste adgang til selve identitetsoplysningerne, og var de eneste, der kunne koble ID-nøglen til personhenførbare data.
Spørgsmål i sagen var, om revisionsfirmaets datasæt (33-tegns ID-nøglen) reelt var anonymiseret eller kun pseudonymiseret. Hvis de ”kun” var pseudonymiseret ville de være omfattet GDPR-lovgivningen.
Dommen slog fast, at revisionsfirmaets datasæt var anonymiseret, og dermed ikke persondata, da det ikke var muligt med (1) lovlige og (2) rimelige midler kunne kæde 33-tegns ID-nøglen sammen med identitetsoplysninger.
Godt nok var der en teoretisk mulighed for at de-anonymisere datasættet, men da revisionsfirmaet ikke havde ret til at få dekrypteringsnøglen udleveret, var det ikke en reel mulighed.
Med andre ord fastslog man med dommen, at data godt kan være anonymiseret for én part – uanset at de ikke er der for andre parter.
Dommen blev senere anket i EU-systemet og behandlingen er ikke endeligt afsluttet endnu. Princippet er dog fastslået: Persondata er kan godt være persondata på en part og anonymt for en anden part.
Hvis du vil vide mere
Nu melder spørgsmålene sig. Skal IP-adresser f.eks. fortsat betragtes som persondata? Eller hvad med statistikker? Eller købsoplysninger? Og hvad med forskning? Vil der her være flere scenarier, der nu kan betragtes som anonyme, når data deles, og dermed kan håndteres udenom GDPR-reglerne?
Hvis du har spørgsmål til dommens betydning, er du altid velkommen til at kontakte vores samarbejdspartner DAHL Advokatpartnerskab, hvor du som medlem af IT-Branchen kan få gratis rådgivning.
Du skal blot skrive til DAHLs juridiske hotline på shield@dahllaw.dk eller ringe på 88 91 91 00. Den telefoniske rådgivning er ubegrænset og gratis for dig som medlem. De første 4 timers skriftligt advokatarbejde er gratis.
Du er også velkommen til selv at fordybe dig i emnet:
- Den første dom ”Beskyttelse af personoplysninger – procedure for betaling af kompensation til aktionærer og kreditorer efter afvikling af en bank“
- Den anden dom ”Appel – beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger – procedure for betaling af kompensation til en banks aktionærer og kreditorer efter afvikling af denne bank”
- Datatilsynets kommentar findes i denne artikel ”Ny afgørelse fra EU-Domstolen om pseudonymiserede personoplysninger”
- Derudover er du velkommen til at besøge IT-Branchens univers omkring persondataforordningen