EU-Domstolen gør anonymiseret datadeling lettere

Print Friendly, PDF & Email

Overordnet om sagens principielle spørgsmål

I en nylig afgørelse fra 26. april 2023 (T-557/20) har EU-Domstolen (Retten i Første Instans) behandlet en sag om deling af data mellem to organisationer og slået fast, at den ene organisation – der fra den anden organisation modtog datasæt med oplysninger om en lang række personer struktureret med et unikt ID for hver person – ikke automatisk skal anses for derved at behandle personoplysninger i henhold til GDPR.

Afgørelsen nuancerer den hidtidige fortolkning af hvornår data er personhenførbare, og dermed omfattet af GDPR. Før afgørelsen har det været en udbredt opfattelse, at strukturerede datasæt med unikke identifikatorer (ID) som relaterer til fysiske personer, anses for at være persondata, så længe det er muligt at identificere de enkelte fysiske personer ved hjælp af ID’et – uanset om organisationen der er i besiddelse af de pågældende datasæt samtidig selv har oplysningerne, der skal bruges for at identificere de fysiske personer ud fra ID’et.

Nærmere om sagens faktum

Sagen udspringer af salget af den spanske bank Banco Popular Español til Banco Santander, der blev gennemført af SRB i henhold bankunionens fælles afviklingsmekanisme. SRB er EU’s fælles afviklingsinstans, der siden 2016 har haft ansvaret for krisehåndteringen af store banker i bankunionen. Som konsekvens af salget led Banco Popular Españols kreditorer og aktionærer tab på grund af de nedskrivninger og afskrivninger SRB foretog.

Efter overdragelsen engagerede SRB Deloitte til at vurdere om aktionærerne og kreditorerne ville være stillet bedre, hvis der i stedet var indledt konkursbehandling af Banco Popular Español. SRB gav efterfølgende kreditorerne og aktionærerne mulighed for at fremkomme med bemærkninger til vurderingen. Dette skete ved at kreditorerne og aktionærerne fik mulighed for at registrere sig via en online formular med henblik på validering af deres status. Derefter fik de validerede kreditorer og aktionærer mulighed for at besvare et spørgeskema om vurderingen som SRB havde udarbejdet.

De indsamlede data fra den indledende registrering og validering af kreditorerne og aktionærerne blev behandlet af en begrænset gruppe af ansatte i SRB, der havde adgang til oplysninger om identiteten på kreditorerne og aktionærerne. De validerede kreditorer og aktionærers svar i spørgeskemaet blev behandlet af en anden gruppe ansatte i SRB, der hverken havde adgang til oplysninger om identiteten på deltagerne eller mulighed for at spore identiteten via de unikke ID-numre, der var genereret for hver af deltagerne.

Den anden gruppe ansatte i SRB gennemgik svarene og identificerede 3.730 individuelle svar, som blev klassificeret efter deres relevans og tema. Heraf angik 1.104 svar vurderingen af værdiansættelsen, og disse svar blev overført til Deloitte via en dedikeret virtuel SRB-server. SRB uploadede svarene til serveren og gav en begrænset gruppe af ansatte hos Deloitte adgang til svarene, der var filtreret, kategoriseret og aggregeret. Deloitte kunne således ikke se om et givet svar kom fra en eller flere deltagere. Svarene der blev overført til Deloitte havde hver en unik alfanumerisk kode, men det var udelukkende SRB der ud fra denne kode kunne forbinde svarene med det fulde sæt af svar, der var modtaget fra deltagerne. Deloitte havde ikke adgang til databasen med identitetsoplysningerne, der blev indsamlet ved den indledningsvise registrering.

Efterfølgende klagede fem af deltagerne over at SRB ikke havde informeret om, at data indsamlet i spørgeskemaerne ville blive delt med bl.a. Deloitte i strid med privatlivspolitikken på registreringssiden. Heroverfor gjorde SRB gældende, at oplysningerne der var overført til Deloitte, ikke udgjorde personoplysninger i henhold til GDPR. Klagerne blev behandlet af EDPS, den uafhængige europæiske myndighed, der fører tilsyn med databeskyttelse i EU.

EDPS nåede frem til, at oplysningerne der var overført til Deloitte, var pseudonymiserede data – både fordi svarene var personoplysninger, og fordi de alfanumeriske koder som Deloitte havde modtaget, kunne bruges til at forbinde svarene Deloitte havde modtaget med svarene i det fulde datasæt. På den baggrund nåede EDPS frem til, at Deloitte var modtager af personoplysninger, og at SRB’s manglende omtale af Deloitte som modtager i privatlivspolitikken udgjorde en overtrædelse af GDPR.

Retten bemærkede at det ikke kunne udelukkes, at oplysningerne der var overført til Deloitte, var personoplysninger, men fremhævede samtidig – med henvisning til EU-Domstolens afgørelse i Breyer (C-582/14) – at det er nødvendigt at sætte sig i Deloittes position for at afgøre dette. I forlængelse deraf nåede Retten frem til, at EDPS ikke kunne konkludere, at oplysningerne der var overført til Deloitte var personoplysninger, idet EDPS ikke havde undersøgt om Deloitte i praksis havde legale muligheder for at få adgang til oplysninger, der kunne muliggøre identificering af deltagerne.

Konsekvenser og videre forløb

Med afgørelsen slår Retten i Første Instans fast, at vurderingen af hvorvidt datasættene hos den modtagende organisation udgør personoplysninger, skal vurderes konkret ud fra hvilke oplysninger den modtagende organisation faktisk har (eller kan få) adgang til. Selvom data der deles udgør personoplysninger hos afsenderen – set i sammenhæng med de øvrige data afsenderen har – vil de samme data ikke nødvendigvis udgøre persondata hos modtageren.

Afgørelsens logiske afgrænsning af definitionen af personoplysninger er udtryk for en mere pragmatisk fortolkning, men da afgørelsen kan appelleres til Domstolen er det endnu for tidligt at konkludere noget endegyldigt om retstilstanden.

En umiddelbar konsekvens af afgørelsen er, at det fremover vil være lettere for organisationer at strukturere samarbejder med udveksling af data, så modtageren ikke bliver anset for at behandle personoplysninger. Dette vil blandt andet indebære, at der i mindre grad vil være behov for at oplyse om sådanne modtagere i privatlivspolitikker (et af klagepunkterne i sagen), og behovet for at indgå databehandlingsaftaler, sikre overførselsgrundlag til tredjelande og føre kontrol i henhold til GDPR vil ligeledes få et mindre omfang. Tilsvarende må det forventes, at afgørelsen også i praksis vil indebære, at eksempelvis kravene til arbejdet med Business Intelligence (BI) bliver lettere at overholde.

 

Kontakt vores advokater med speciale i persondataret og databeskyttelse Johan Leonhard, Janie C. Nielsen eller Janne Glæsel, hvis du har spørgsmål eller ønsker rådgivning om konsekvenserne og mulighederne der følger af afgørelsen.

Dette nyhedsbrev kan ikke erstatte juridisk rådgivning. Nyborg & Rørdam Advokatfirma påtager sig intet ansvar for skader eller tab, der direkte eller indirekte kan henføres til brugen af nyhedsbrevet. Dette gælder, uanset om skaden eller tabet er forårsaget af fejlagtig information i nyhedsbrevet eller af øvrige forhold, der relaterer sig til nyhedsbrevet.

Andre Erhvervsnyheder

Se alle

Nyborg & Rørdam bidrager til guide om databeskyttelse
  Advokaterne Janne Glæsel, Janie C. Nielsen og Johan Leonhard har skrevet et kapitel om de danske databeskyttelsesregler i den internationale engelske guide fra Chambers and Partners. I kapitlet gennemgås…
Personskattereformen er vedtaget
Personskattereformen - herunder top-topskat - er vedtaget Folketinget vedtog den 16. maj 2024 den nye personskattereform, som bygger på en politisk aftale fra 14. december 2023. De første ændringer vil…
Etablering af whistleblowerordning – sidste chance før deadline
Om få uger – den 17. december 2023 – skal alle private danske virksomheder med 50 eller flere ansatte have implementeret en whistleblowerordning. Derfor er det ved at være sidste…
Ny afgørelse fra Højesteret om opgørelse af sagsværdi og -omkostninger
Den 1. september 2023 afsagde Højesteret kendelse i en kæresag, der omhandlede opgørelse af sagsværdien og sagsomkostningerne i en sag om eksklusion fra en andelsboligforening. Afgørelsen giver et principielt indblik…
Ny afgørelse fra Højesteret om varemærker –
Thansen’s brug af OUTTREK krænkede
ikke Trek’s varemærkerettigheder
Højesteret har den 4. oktober 2023 afsagt endelig dom i den langvarige tvist mellem det amerikanske cykelfirma Trek Bicycle Corporation og danske T. Hansen Gruppen A/S om varemærkerne ”TREK” og…
Ny praksis i Erhvervsstyrelsen: Straksafgørelse af anmeldelser af fusioner og spaltninger
Fremover vil der ikke være manuel sagsbehandling, når en fusion eller spaltning anmeldes til registrering ved Erhvervsstyrelsen. Sagsbe-handlingstiden for fusioner og spaltninger har indtil indførelsen af straksafgørelser været 6-8 uger,…
Nyborg & Rørdam bidrager til Advokatrådets GDPR-styregruppe
  Advokatrådet har nedsat en GDPR-styregruppe, der skal se nærmere på gode råd og vejledning til advokaters efterlevelse af databeskyttelsesreglerne. Advokat Johan Leonhard fra Nyborg & Rørdam er netop blevet…
EU-Domstolen gør anonymiseret datadeling lettere
Overordnet om sagens principielle spørgsmål I en nylig afgørelse fra 26. april 2023 (T-557/20) har EU-Domstolen (Retten i Første Instans) behandlet en sag om deling af data mellem to organisationer…
Selskabslovens nye regler om selskabers grænseoverskridende
omdannelser, fusioner og spaltninger (”grænseoverskridende transaktioner”)
Den 2. marts 2023 vedtog Folketinget et lovforslag til ændring af selskabsloven om selskabers grænseoverskridende omdannelser, fusioner og spaltninger. Der er tale om implementering af det såkaldte ”ændringsdirektiv”1 i dansk…
Nye regler i selskabsloven om
selskabers grænseoverskridende transaktioner
Nye regler om selskabers grænseoverskridende omdannelser, fusioner og spaltninger (”grænseoverskridende transaktioner”) Der er den 25. januar 2023 fremsat et lovforslag til ændring af selskabsloven om selskabers grænseoverskridende omdannelser, fusioner og…
DAC7: Udvidet indberetningspligt
for operatører af digitale platforme
Fra den 1. januar 2023 skal operatører af digitale platforme indberette oplysninger om sælgere og udlejere og de indtægter, som genereres på digitale platforme, når der er tale om formidling…
Ny frist for indberetning af årsrapporter
til Erhvervsstyrelsen
Fremover vil fristen for indberetning af årsrapporten være 6 måneder fra regnskabsårets slutning. En ændring i årsregnskabsloven betyder, at fristen for indberetning af årsrapport udskydes for virksomheder i regnskabsklasse B…
Aktielønsordninger under “lup”
Flere og flere virksomheder etablerer incitamentsordninger i form af aktielønsordninger af forskellig art, fordi det er med til at knytte medarbejderne tættere til virksomheden og kan være nødvendigt/befordrende for vækstmulighederne.…
Forældrekøb stadig muligt i
virksomhedsskatteordningen
En politisk aftale bebudede allerede i december 2019, at forældrekøb i virksomhedsskatteordningen (VSO) mv. skulle “afskaffes”. Det sker ikke. Her i slutningen af november 2020 er et lovforslag fremsat. Forældrekøb…