Den 26. april fastslo EUs underrett (General Court), i sak-T 557/20 (SRB-dommen), at det må foretas en vurdering av hvorvidt pseudonymiserte data som overføres til en tredjepart er data som kan identifiseres av mottakeren, før det fastslås om dette er personopplysninger. Dersom slike data ikke kan identifiseres av mottakeren, vil GDPR ikke komme til anvendelse på behandlingen. Overføring av slike datasett til en tredjepart vil i disse tilfellene ikke innebære overføring av personopplysninger. Dette vil få store konsekvenser for behandlingen av slike datasett.
Bakgrunn
Single Resolution Board (SRB), sentral rekonstruksjonsorganisasjon i EUs bankunion, ønsket innspill fra ulike personer i forbindelse med en høringsrunde med to ulike faser, en registeringsfase og en verifikasjonsfase. Det ble sendt ut et elektronisk spørreskjema til aktuelle deltakere. De innsamlede personopplysningene fra høringsrunden ble sammenstilt og pseudonymisert med en alfanumerisk kode knyttet til den enkelte deltaker i høringsrunden. Etter verifikasjonsfasen ble resultatene oversendt til et konsulentselskap, Deloitte, for analyse og statistikk. Deloitte mottok datasettene i et format som kun inneholdt den alfanumeriske koden. Denne alfanumeriske koden kunne potensielt anvendes til å re-indentifisere deltakerne ved hjelp av ytterligere informasjon som SRB fortsatt var i besittelse av. Deloitte hadde imidlertid ingen tilgang til denne informasjonen og hadde heller ingen rett til å få den utlevert.
Fem personer som deltok i høringsrunden, klagde SRB inn for European Data Protection Supervisor (EDPS) og anførte at SRB ikke hadde informert deltakerne etter GDPR art. 15 (1) bokstav d om at innsamlet opplysninger skulle overføres til Deloitte. EDPS traff vedtak om at SRB hadde opptrådt i strid med GDPR som følge av dette. SRB brakte dette vedtaket inn for EU-domstolen og anførte at datasettene som ble overført ikke var personopplysninger. EUs underrett vurderte gyldigheten av EDPS’ beslutning.
Personopplysninger – et absolutt eller relativt begrep?
Opplysninger som kan knyttets til en identifiserbar fysisk person direkte eller indirekte vil anses som personopplysninger. Når personopplysningene er pseudonymisert, kan fysiske personer re-identifiseres ved hjelp av identifikatorer. Det klare utgangspunktet har derfor vært at GDPR gjelder for pseudonymiserte data, men ikke for anonymiserte data. Spørsmålet er så om pseudonymiserte data alltid vil bli ansett som personopplysninger, også i de tilfeller der pseudonymiserte data overføres til en tredjepart.
I overnevnte avgjørelse tar EU-domstolen utgangspunkt i definisjonen av personopplysninger i GDPR art. 4(1) som fastslår at personopplysninger er «enhver opplysning om en identifisert eller identifiserbar fysisk person». For å avgjøre hvorvidt en person er identifiserbar, skal det ifølge fortalen hensynta «alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte».
Videre viser EU-domstolen til Breyer-dommen, sak C-582/14, der retten uttalte at det må foretas en vurdering av risikoen for at en fysisk person kan re-identifiseres, der spørsmålet er om det er rimelig sannsynlig at kombinasjonen av dataene og bruk av tilleggsinformasjon (identifikatorer), kan brukes til å identifisere en fysisk person. Her la retten vekt på at det må vurderes om det kreves en uforholdsmessig innsats i form av tid, kostnader eller arbeidsinnsats for å re-identifisere en fysisk person. EU-domstolen la derfor i Breyer-dommen opp til at begrepet personopplysninger skal tolkes relativt.
Derimot synes Datatilsynet å ha lagt til grunn at pseudonymiserte data alltid er å anse som personopplysninger, med mindre det er umulig eller praktisk umulig å re-identifisere en fysisk person, eller dersom det vil være ulovlig. I praksis har det derfor vært lite rom for å relativisere personopplysningsbegrepet etter en risikovurdering.
I SRB-avgjørelsen kommer EU-domstolen med en ytterliggere presisering, og fastslår at når vurderingen av risiko for re-identifisering skal foretas, må den vurderes fra mottakerens ståsted, dvs. under hvilken innsats og mulighet Deloitte hadde til å re-identifisere deltakerne i høringsrunden utført av SRB når det var SRB som satt på den alfanumeriske koden og ikke Deloitte. EDPS hadde ikke foretatt denne konkrete vurderingen, men bare fastslått at de pseudonymiserte opplysningene var personopplysninger. Som følge av dette opphevet EU-domstolen EDPS vedtak.
Avgjørelsens betydning
Ettersom avgjørelsen ble fattet av EU-domstolens første instans, European General Court, kan den ankes av EDPS til European Court of Justice og er dermed ikke rettskraftig enda. En rettskraftig dom vil kunne få betydning for vurderingen av hvorvidt pseudonymiserte data er personopplysninger
Avgjørelsen kan benyttes som grunnlag for å anføre at personopplysningsbegrepet er relativt, slik at det må foretas en konkret vurdering av risikoen knyttet til at en fysisk person kan bli re-identifisert av mottakeren, evt. av andre, dersom datane er pseudonymiserte.
Avgjørelsen kan bety at det lettere kan legges til grunn at noe ikke er å anse som personopplysninger enn det som tidligere har vært praksis. Konsekvensen er at slike datasett ikke omfattes av de mange reglene til GDPR, og at det heller ikke er nødvendig med databehandleravtale. Dette vil sannsynligvis få praktiske konsekvenser for bruk av opplysninger til forskning og undersøkelser, algoritmetrening og generell bruk av aggregerte data.
Det er derimot viktig å merke at EU-domstolen tok ikke stilling til om de pseudonymiserte dataene i dette konkrete tilfellet var personopplysninger, men fastslo at EDPS var pliktig til å foreta en nærmere vurdering av risikoen for slik re-identifisering.
