CJEU om EDPS v SRB: är pseudonymiserade data personuppgifter?
EU-domstolen har avgjort mål C-413/23 P mellan European Data Protection Supervisor (EDPS) och Single Resolution Board (SRB). Domen rör överföring av pseudonymiserade uppgifter till tredje part och hur begreppet personuppgifter ska förstås. Den berör även informationsskyldighet enligt förordning 2018/1725 för EU-institutioner, men avgörandet har intresse även för tillämpning av den allmänna dataskyddsförordningen.
EDPS, SRB och Deloitte: vad handlade rättsfallet om?
Efter resolutionen av Banco Popular Español den 7 juni 2017 tog SRB ett preliminärt beslut i frågan om kompensation till bankens tidigare aktieägare och fordringsägare. Beslutet var preliminärt och SRB hade inte inhämtat dessa parters åsikter, så de samlade in synpunkter och överförde vissa av dessa, i pseudonymiserad form, till Deloitte. Deloitte var uppdragstagare för att värdera effekterna av resolutionen.
Flera drabbade klagade till EDPS eftersom SRB inte informerat om att uppgifter skulle lämnas till Deloitte. EDPS slog fast att Deloitte var mottagare av klagandenas personuppgifter och att SRB bröt mot informationsskyldigheten i förordning 2018/1725. Tribunalen ogiltigförklarade delar av beslutet, men EU-domstolen upphävde den domen och återförvisade målet.
Vilka GDPR-regler prövades i detta mål?
Domen klargör tolkningen av förordning 2018/1725 som gäller behandling av personuppgifter för EU-institutioner. Domstolen slår fast att personliga åsikter och ståndpunkter, som uttryck för en persons tänkande, är nära knutna till den personen och därmed kan “röra” den personen. Tribunalen gjorde fel som krävde prövning av innehåll, syfte eller effekter för att komma fram till dess domslut.
Domstolen bekräftar samtidigt att pseudonymiserade uppgifter inte alltid är personuppgifter för alla mottagare. Identifierbarhet ska bedömas utifrån omständigheterna. För informationsskyldigheten gäller att bedömningen ska göras vid insamlingen och ur den personuppgiftsansvariges perspektiv, inte mottagarens. SRB:s skyldighet gällde före överföringen, oavsett hur Deloitte kunde identifiera uppgifterna.
Varför spelar domen roll för din verksamhet?
Domen tydliggör när uppgifter “rör” en person och hur pseudonymisering påverkar ansvar. Den klargör även tidpunkt och perspektivet ur vilket informationsskyldigheten ska mellan registrerad och personuppgiftsansvarig ska uppfyllas. Detta påverkar styrning, processer och kommunikation.
- Personliga åsikter kan utgöra uppgifter som rör en identifierbar person.
- Pseudonymisering utesluter inte personuppgiftsansvar, bedömningen är kontextberoende.
- Informationsskyldigheten bedöms vid insamling och från den personuppgiftsansvariges perspektiv.
- Mottagarens möjligheter att identifiera är inte avgörande för skyldigheten att informera.
- Domen upphäver tribunalens dom och återförvisar målet, vilket ger fortsatt vägledning.
Vad kan verksamheter ta med sig från domen?
Utgå från att personliga synpunkter kan vara personuppgifter i rättslig mening. Behandla pseudonymiserade uppgifter med försiktighet, eftersom identifierbarhet bedöms från fall till fall. Säkerställ att informationsskyldigheten hanteras korrekt vid insamling och utifrån er roll som personuppgiftsansvarig. Dokumentera beslut och kommunikation inför eventuella överföringar till tredje part. Domen markerar tydliga krav på ansvar och transparens, vilket påverkar risk, tillsyn och förtroende.
