Avgjørelsen i første instans
I vårt tidligere nyhetsbrev fra 31. mai, dykket vi inn i en spennende rettssak fra EU-domstolens første instans, European General Court. Saken kaster lys over en aktuell problemstilling: Er pseudonymiserte data personopplysninger når de deles med tredjeparter? Selv om domstolen ikke ga et klart svar på spørsmålet, har den satt retningslinjer for vurderingen. Nå har denne avgjørelsen, kjent som T-557/20, blitt anket. Det blir derfor en omkamp om spørsmålet i European Court of Justice, og det er fortsatt håp om at ankedomstolen vil redefinere grensene noe når det gjelder hva som er tilstrekkelig for at data skal ansees som anonymiserte data etter GDPR-regelverket.
Pseudonymiserte data og personvernspørsmål
Saken har sin bakgrunn i en situasjon der SRB, en sentral rekonstruksjonsorganisasjon innenfor EUs bankunion, ble anklaget for å bryte GDPR artikkel 15. De hadde angivelig unnlatt å informere de registrerte personene om at spesifikke datasett ville bli delt med Deloitte. Datasettet var basert på personopplysninger som hadde blitt pseudonymisert ved hjelp av alfanumeriske koder, og Deloitte hadde ingen mulighet til å re-identifisere dem.
Ettersom det er teoretisk mulig å re-identifisere personopplysninger ved hjelp av identifikatorer, har det vært praksis å betrakte slike datasett som personopplysninger. Dette i motsetning til anonymiserte data som ikke er å anse som personopplysninger. Uten å foreta en grundig vurdering hevdet EDPS at datasettene var personopplysninger og at SRB hadde brutt GDPR ved ikke å informere individene om overføringen til Deloitte.
Rettsavgjørelsens betydning
Domstolen fastslo at når man vurderer risikoen for re-identifisering, må man se det fra mottakerens perspektiv. Dette betyr at man må vurdere om mottakeren faktisk har muligheten til å re-identifisere personene når de bare har tilgang til den alfanumeriske koden. Som et resultat opphevet EU-domstolen EDPS’ avgjørelse fordi EDPS ikke hadde foretatt en tilstrekkelig konkret vurdering av denne risikoen. Det er verdt å merke seg at EU-domstolen ikke tok stilling til om datasettene faktisk var personopplysninger i denne konkrete saken, men de fastslo at EDPS var nødt til å foreta en grundigere vurdering av risikoen for at Deloitte ville klare å re-identifise datasettet.
Anken fra EDPS
EDPS har anket avgjørelsen og argumenterer blant annet for at retten har feiltolket GDPR når domstolen krevde at EDPS måtte grundig vurdering situasjonen fra mottakerens perspektiv, og ikke bare kunne legge til grunn at pseudonymiserte opplysninger var personopplysninger.
Konsekvensene
En endelig avgjørelse om dette spørsmålet kan få store praktiske konsekvenser for personvernpraksisen. Det kan potensielt føre til at opplysninger som tidligere har vært ansett som personopplysninger ikke lenger er det, som igjen betyr at ikke alle pseudonymiserte data omfattes av GDPR-regelverket.
Hvis en rettskraftig dom åpner for en bredere vurdering enn tidligere praksis, kan det føre til at overføringer av pseudonymiserte data til tredjeparter i mange tilfeller ikke lenger vil kreve f.eks. databehandleravtaler og risikovurderinger. Dette kan ha stor praktisk betydning for bruk av aggregerte data til forskning, undersøkelser og trening av algoritmer.
Vi ser frem til å følge med på utviklingen av denne avgjørelsen og oppdaterer når en endelig dom foreligger. Vi er spente på å se utfallet.
Artikkel forfattere: Jostein Ramse, Camilla Gjersem og Charlotte Erster Dalan.
