EU-domstolen har i en färsk dom, C-413/23 P (EDPS mot SRB), förtydligat hur pseudonymiserade uppgifter ska bedömas i förhållande till begreppet personuppgifter. Avgörandet är särskilt intressant för aktörer inom datadriven och digital marknadsföring, där pseudonymisering ofta används som ett sätt att minska risker vid analys, profilering och delning av data till tredje part.
Bakgrunden till målet var att Europeiska datatillsynsmannen (EDPS) ansåg att Gemensamma resolutionsnämnden (SRB) hade brutit mot reglerna om personuppgiftsskydd genom att inte informera berörda personer om att deras pseudonymiserade uppgifter delats med en extern part (Deloitte). I samband med ett förfarande om eventuell ersättning samlade SRB in uppgifter om aktieägare och borgenärer, bland annat identitet och innehav, samt deras synpunkter på ett beslut. Kommentarerna lämnades därefter vidare i pseudonymiserad form till Deloitte, vilket ledde till klagomål från vissa registrerade.
En central fråga i domstolens bedömning var hur begreppet personuppgift ska tolkas när det gäller uppgifter som inte längre innehåller direkta identifierare men som ändå kan knytas till en individ. Domstolen slog fast att en upplysning avser en identifierad eller identifierbar person när den genom sitt innehåll, sitt syfte eller sin verkan är knuten till en person. Dessa kriterier är alternativa, inte kumulativa. I det aktuella målet räckte det att konstatera att det rörde sig om personliga åsikter och synpunkter, eftersom sådana uppgifter typiskt sett har ett nära samband med den person som uttryckt dem. Någon ytterligare avancerad analys av syfte eller verkan krävdes inte för att kvalificera uppgifterna som personuppgifter.
Det verkligt intressanta för branschen är dock domstolens resonemang om pseudonymisering. EU-domstolen understryker att pseudonymiserade uppgifter inte per automatik utgör personuppgifter för alla tänkbara aktörer. Pseudonymisering beskrivs som en teknisk och organisatorisk åtgärd som syftar till att minska risken för att uppgifter kopplas samman med den registrerade. Frågan blir då: för vem är det i praktiken möjligt att återskapa kopplingen mellan uppgiften och personen?
För SRB, som förfogade över kompletterande uppgifter som kunde koppla kommentarer och pseudonymer till enskilda personer, var uppgifterna fortfarande personuppgifter. Myndigheten hade kvar nyckeln som gjorde identifiering möjlig, och därmed behöll uppgifterna sin personliga karaktär trots pseudonymiseringen. För Deloitte såg situationen annorlunda ut. Domstolen framhöll att uppgifterna i förhållande till tredje part inte utgör personuppgifter om pseudonymiseringen är utformad så att mottagaren varken kan kringgå åtgärderna eller med rimliga medel kombinera uppgifterna med annan information för att identifiera de registrerade.
En viktig del av domen är betoningen på ”rimlig sannolikhet”. Att kompletterande uppgifter finns någonstans innebär inte automatiskt att pseudonymiserade uppgifter alltid ska ses som personuppgifter. Det krävs en konkret prövning av om identifiering faktiskt är realistisk, exempelvis genom kombination av olika dataset eller information som finns tillgänglig på internet. Om identifiering i praktiken är omöjlig – till exempel på grund av rättsliga begränsningar eller bristande resurser – minskar sannolikheten för att det rör sig om personuppgifter för just den mottagaren. Samtidigt öppnar domstolen för det omvända scenariot: uppgifter som inte är personuppgifter i ett led kan bli det när de överförs till en aktör som har medel och information att identifiera individen.
Domstolen tar också ställning till från vilket perspektiv man ska bedöma identifierbarheten när det gäller informationsskyldigheten. Bedömningen ska enligt EU-domstolen göras utifrån den personuppgiftsansvariges perspektiv vid tidpunkten för insamlingen. I det aktuella fallet byggde behandlingen på samtycke, vilket ställer krav på att den registrerade får tydlig information om behandlingen – inklusive vilka mottagare som kan få del av uppgifterna. Syftet är att ge den registrerade tillräckligt underlag för att kunna ta ställning till om samtycke ska lämnas eller inte.
För företag och organisationer som arbetar med digital marknadsföring innebär domen att man inte kan utgå från att pseudonymisering i sig tar uppgifterna ”utanför GDPR”. För den aktör som har möjlighet att knyta pseudonyma ID:n till en fysisk person – exempelvis via kundregister, loggar eller andra interna system – är uppgifterna fortfarande personuppgifter. Vid delning till byråer, plattformar eller andra externa parter måste man analysera om mottagaren, med sina resurser och sin åtkomst till annan data, faktiskt kan identifiera individerna. Om svaret är ja, gäller reglerna om personuppgifter även i det ledet.
Sammantaget ger EU-domstolens avgörande en mer nyanserad bild: pseudonymiserade uppgifter är ofta personuppgifter, men inte alltid och inte för alla. För branschens aktörer skärper det kraven på att göra en medveten, praktisk bedömning av identifierbarhet i varje led – och att säkerställa att informationsgivning, samtycke och avtal med tredje part utformas utifrån det.
Stockholm den 24 november 2025
Katarina Ladenfors
