Tänk på det här vid pseudonymisering och anonymisering av personuppgifter

Pseudonymisering och anonymisering – det kan lätt bli fel

Pseudonymisering lyfts fram i GDPR som en möjlig säkerhetsåtgärd för att skydda personuppgifter. En vanlig fallgrop är att man blandar ihop pseudonymisering och anonymisering. Har du koll på vad skillnaden är mellan de två begreppen?

Pseudonymisering

Pseudonymisering är en teknisk och organisatorisk säkerhetsåtgärd för att öka skyddet för den enskildes personuppgifter. Pseudonymisering innebär att man behandlar personuppgifterna på ett sådant sätt att de inte längre kan användas för att identifiera en enskild person, om man inte kombinerar dem med kompletterande information. Den kompletterande informationen måste förvaras separat från personuppgifterna och att de ska skyddas med lämpliga säkerhetsåtgärder.

Ett exempel på pseudonymisering är kodade personuppgifter. Det innebär att man byter ut direkt identifierande uppgifter, till exempel ett personnummer eller ett namn, mot någon sorts kod, kanske ett slumpmässigt tal, ändrar ett namn eller liknande. De kodade uppgifterna är i sig själva inte tillräckliga för att identifiera en enskild person, men tillsammans med en kodnyckel, kan man identifiera individen. I och med kodnyckeln är pseudonymiserade uppgifter fortfarande personuppgifter och omfattas därmed av GDPR. För att uppgifterna inte ska omfattas av dataskyddsreglerna krävs att uppgifterna är helt avidentifierade (anonymiserade).

Anonymisering

Anonymisering innebär att det inte går att identifiera en enskild person, och att det inte heller går att tillföra annan information som gör det möjligt att identifiera personen. Om uppgifterna är anonymiserade är de inte längre personuppgifter. Att enbart ta bort namn, personuppgifter eller andra direkta personuppgifter betyder inte nödvändigtvis att uppgifterna är anonymiserade. Det kan finnas annan information som gör det möjligt att identifiera en enskild person.

Själva processen med att anonymisera uppgifter är dock många gånger en personuppgiftsbehandling, och omfattas av dataskyddsreglerna. Det kan hända att en registrerad önskar ta del av hur processen för anonymisering ser ut, vilka bedömningar som har gjorts och så vidare.

Lätt att blanda ihop

Begreppen pseudonymisering och anonymisering blandas ofta ihop, vilket kan vara problematiskt eftersom dataskyddsreglerna fortfarande gäller för pseudonymiserade uppgifter. Så länge det finns kompletterande information som möjliggör identifiering måste dataskyddsreglerna beaktas.

Bedömningen av om en uppgift är anonymiserad eller inte måste göras i det enskilda fallet, eftersom det till viss del kan bero på vilken information den personuppgiftsansvarige har tillgång till.

I slutet av april 2023 avgjorde EU-domstolen mål T-557/20. I målet prövades huruvida uppgifter kunde anses vara anonyma hos mottagaren av ett dataset, trots att avsändaren hade tillgång till kompletterande uppgifter som möjliggjorde identifiering. Teoretiskt skulle det vara möjligt för mottagaren att åter identifiera uppgifterna, men frågan var om det var praktiskt möjligt?

EU-domstolen förtydligade i målet att bedömningen måste göras utifrån mottagarens perspektiv, om denne har medel som gör det möjligt att identifiera en individ. I avgörandet förtydligar Domstolen att bedömningen huruvida personuppgifter går att åter identifiera inte enbart kan göras utifrån vilka uppgifter mottagaren har tillgång till, utan även om det är lagligt och praktiskt möjligt för mottagaren att kombinera uppgifterna så att uppgifterna blir identifierbara. Domstolen prövade huruvida det är ”praktiskt sett omöjligt” för mottagaren att identifiera personer, genom att bedöma om det skulle krävas orimliga resurser för identifieringen. Domstolen kom fram till att risken för identifiering var så liten att den saknade betydelse, och uppgifterna bedömdes därför vara anonyma hos mottagaren. Hos avsändaren var de dock endast pseudonymiserade.

Skillnaden mellan pseudonymisering och anonymisering ligger alltså i huruvida uppgifterna går att återidentifiera eller inte. Så länge det är möjligt att kombinera uppgifterna med någon annan information och på så sätt identifiera en enskild person, är uppgifterna personuppgifter och omfattas av dataskyddsreglerna.