Introduktion
Pseudonymisering och anonymisering – det kan lätt bli fel
Pseudonymisering lyfts fram i GDPR som en möjlig säkerhetsåtgärd för att skydda personuppgifter. En vanlig fallgrop är att man blandar ihop pseudonymisering och anonymisering. Har du koll på vad skillnaden är mellan de två begreppen?
Pseudonymisering vs anonymisering
Att förstå skillnaden mellan dessa två begrepp är viktigt för att kunna hantera personuppgifter korrekt. Pseudonymisering innebär att uppgifterna är skyddade men ändå spårbara till individen genom kompletterande information. Anonymisering innebär att all möjlighet till identifiering är borttagen. Nedan beskrivs skillnaderna mer i detalj.
Pseudonymisering – möjlighet till återidentifiering
Pseudonymisering är en metod för att skydda personuppgifter genom att ersätta direkt identifierande information, som namn eller personnummer, med en kod eller liknande. För att koppla uppgifterna till en person krävs en separat förvarad kodnyckel, som skyddas med säkerhetsåtgärder. Därför omfattas pseudonymiserade uppgifter av GDPR. Endast helt anonymiserade uppgifter undantas från dataskyddsregler.
Anonymisering
Anonymisering går ett steg längre än pseudonymisering. Här tas all information som kan kopplas till en individ bort, vilket gör identifiering omöjlig, även med tillgång till kompletterande data. När data är anonymiserade betraktas de inte längre som personuppgifter och omfattas därför inte av GDPR. Det är viktigt att vara medveten om att detta är en process som i sig kan betraktas som en personuppgiftsbehandling och omfattas av dataskyddsreglerna tills den är slutförd.
Lätt att blanda ihop
Begreppen pseudonymisering och anonymisering blandas ofta ihop, vilket kan vara problematiskt eftersom dataskyddsreglerna fortfarande gäller för pseudonymiserade uppgifter. Så länge det finns kompletterande information som möjliggör identifiering måste dataskyddsreglerna beaktas.
Bedömningen av om en uppgift är anonymiserad eller inte måste göras i det enskilda fallet, eftersom det till viss del kan bero på vilken information den personuppgiftsansvarige har tillgång till.
I slutet av april 2023 avgjorde EU-domstolen mål T-557/20. I målet prövades huruvida uppgifter kunde anses vara anonyma hos mottagaren av ett dataset, trots att avsändaren hade tillgång till kompletterande uppgifter som möjliggjorde identifiering. Teoretiskt skulle det vara möjligt för mottagaren att åter identifiera uppgifterna, men frågan var om det var praktiskt möjligt?
EU-domstolen förtydligade i målet att bedömningen måste göras utifrån mottagarens perspektiv, om denne har medel som gör det möjligt att identifiera en individ. I avgörandet förtydligar Domstolen att bedömningen huruvida personuppgifter går att åter identifiera inte enbart kan göras utifrån vilka uppgifter mottagaren har tillgång till, utan även om det är lagligt och praktiskt möjligt för mottagaren att kombinera uppgifterna så att uppgifterna blir identifierbara. Domstolen prövade huruvida det är ”praktiskt sett omöjligt” för mottagaren att identifiera personer, genom att bedöma om det skulle krävas orimliga resurser för identifieringen. Domstolen kom fram till att risken för identifiering var så liten att den saknade betydelse, och uppgifterna bedömdes därför vara anonyma hos mottagaren. Hos avsändaren var de dock endast pseudonymiserade.
Skillnaden mellan pseudonymisering och anonymisering ligger alltså i huruvida uppgifterna går att återidentifiera eller inte. Så länge det är möjligt att kombinera uppgifterna med någon annan information och på så sätt identifiera en enskild person, är uppgifterna personuppgifter och omfattas av dataskyddsreglerna.