EU-Domstolen gør anonymiseret datadeling lettere

Overordnet om sagens principielle spørgsmål

I en nylig afgørelse fra 26. april 2023 (T-557/20) har EU-Domstolen (Retten i Første Instans) behandlet en sag om deling af data mellem to organisationer og slået fast, at den ene organisation – der fra den anden organisation modtog datasæt med oplysninger om en lang række personer struktureret med et unikt ID for hver person – ikke automatisk skal anses for derved at behandle personoplysninger i henhold til GDPR.

Afgørelsen nuancerer den hidtidige fortolkning af hvornår data er personhenførbare, og dermed omfattet af GDPR. Før afgørelsen har det været en udbredt opfattelse, at strukturerede datasæt med unikke identifikatorer (ID) som relaterer til fysiske personer, anses for at være persondata, så længe det er muligt at identificere de enkelte fysiske personer ved hjælp af ID’et – uanset om organisationen der er i besiddelse af de pågældende datasæt samtidig selv har oplysningerne, der skal bruges for at identificere de fysiske personer ud fra ID’et.

Nærmere om sagens faktum

Sagen udspringer af salget af den spanske bank Banco Popular Español til Banco Santander, der blev gennemført af SRB i henhold bankunionens fælles afviklingsmekanisme. SRB er EU’s fælles afviklingsinstans, der siden 2016 har haft ansvaret for krisehåndteringen af store banker i bankunionen. Som konsekvens af salget led Banco Popular Españols kreditorer og aktionærer tab på grund af de nedskrivninger og afskrivninger SRB foretog.

Efter overdragelsen engagerede SRB Deloitte til at vurdere om aktionærerne og kreditorerne ville være stillet bedre, hvis der i stedet var indledt konkursbehandling af Banco Popular Español. SRB gav efterfølgende kreditorerne og aktionærerne mulighed for at fremkomme med bemærkninger til vurderingen. Dette skete ved at kreditorerne og aktionærerne fik mulighed for at registrere sig via en online formular med henblik på validering af deres status. Derefter fik de validerede kreditorer og aktionærer mulighed for at besvare et spørgeskema om vurderingen som SRB havde udarbejdet.

De indsamlede data fra den indledende registrering og validering af kreditorerne og aktionærerne blev behandlet af en begrænset gruppe af ansatte i SRB, der havde adgang til oplysninger om identiteten på kreditorerne og aktionærerne. De validerede kreditorer og aktionærers svar i spørgeskemaet blev behandlet af en anden gruppe ansatte i SRB, der hverken havde adgang til oplysninger om identiteten på deltagerne eller mulighed for at spore identiteten via de unikke ID-numre, der var genereret for hver af deltagerne.

Den anden gruppe ansatte i SRB gennemgik svarene og identificerede 3.730 individuelle svar, som blev klassificeret efter deres relevans og tema. Heraf angik 1.104 svar vurderingen af værdiansættelsen, og disse svar blev overført til Deloitte via en dedikeret virtuel SRB-server. SRB uploadede svarene til serveren og gav en begrænset gruppe af ansatte hos Deloitte adgang til svarene, der var filtreret, kategoriseret og aggregeret. Deloitte kunne således ikke se om et givet svar kom fra en eller flere deltagere. Svarene der blev overført til Deloitte havde hver en unik alfanumerisk kode, men det var udelukkende SRB der ud fra denne kode kunne forbinde svarene med det fulde sæt af svar, der var modtaget fra deltagerne. Deloitte havde ikke adgang til databasen med identitetsoplysningerne, der blev indsamlet ved den indledningsvise registrering.

Efterfølgende klagede fem af deltagerne over at SRB ikke havde informeret om, at data indsamlet i spørgeskemaerne ville blive delt med bl.a. Deloitte i strid med privatlivspolitikken på registreringssiden. Heroverfor gjorde SRB gældende, at oplysningerne der var overført til Deloitte, ikke udgjorde personoplysninger i henhold til GDPR. Klagerne blev behandlet af EDPS, den uafhængige europæiske myndighed, der fører tilsyn med databeskyttelse i EU.

EDPS nåede frem til, at oplysningerne der var overført til Deloitte, var pseudonymiserede data – både fordi svarene var personoplysninger, og fordi de alfanumeriske koder som Deloitte havde modtaget, kunne bruges til at forbinde svarene Deloitte havde modtaget med svarene i det fulde datasæt. På den baggrund nåede EDPS frem til, at Deloitte var modtager af personoplysninger, og at SRB’s manglende omtale af Deloitte som modtager i privatlivspolitikken udgjorde en overtrædelse af GDPR.

Retten bemærkede at det ikke kunne udelukkes, at oplysningerne der var overført til Deloitte, var personoplysninger, men fremhævede samtidig – med henvisning til EU-Domstolens afgørelse i Breyer (C-582/14) – at det er nødvendigt at sætte sig i Deloittes position for at afgøre dette. I forlængelse deraf nåede Retten frem til, at EDPS ikke kunne konkludere, at oplysningerne der var overført til Deloitte var personoplysninger, idet EDPS ikke havde undersøgt om Deloitte i praksis havde legale muligheder for at få adgang til oplysninger, der kunne muliggøre identificering af deltagerne.

Konsekvenser og videre forløb

Med afgørelsen slår Retten i Første Instans fast, at vurderingen af hvorvidt datasættene hos den modtagende organisation udgør personoplysninger, skal vurderes konkret ud fra hvilke oplysninger den modtagende organisation faktisk har (eller kan få) adgang til. Selvom data der deles udgør personoplysninger hos afsenderen – set i sammenhæng med de øvrige data afsenderen har – vil de samme data ikke nødvendigvis udgøre persondata hos modtageren.

Afgørelsens logiske afgrænsning af definitionen af personoplysninger er udtryk for en mere pragmatisk fortolkning, men da afgørelsen kan appelleres til Domstolen er det endnu for tidligt at konkludere noget endegyldigt om retstilstanden.

En umiddelbar konsekvens af afgørelsen er, at det fremover vil være lettere for organisationer at strukturere samarbejder med udveksling af data, så modtageren ikke bliver anset for at behandle personoplysninger. Dette vil blandt andet indebære, at der i mindre grad vil være behov for at oplyse om sådanne modtagere i privatlivspolitikker (et af klagepunkterne i sagen), og behovet for at indgå databehandlingsaftaler, sikre overførselsgrundlag til tredjelande og føre kontrol i henhold til GDPR vil ligeledes få et mindre omfang. Tilsvarende må det forventes, at afgørelsen også i praksis vil indebære, at eksempelvis kravene til arbejdet med Business Intelligence (BI) bliver lettere at overholde.

Kontakt vores advokater med speciale i persondataret og databeskyttelse Johan Leonhard, Janie C. Nielsen eller Janne Glæsel, hvis du har spørgsmål eller ønsker rådgivning om konsekvenserne og mulighederne der følger af afgørelsen.

Dette nyhedsbrev kan ikke erstatte juridisk rådgivning. Nyborg & Rørdam Advokatfirma påtager sig intet ansvar for skader eller tab, der direkte eller indirekte kan henføres til brugen af nyhedsbrevet. Dette gælder, uanset om skaden eller tabet er forårsaget af fejlagtig information i nyhedsbrevet eller af øvrige forhold, der relaterer sig til nyhedsbrevet.