Nye muligheder for deling af persondata
En ny EU-dom konkluderer, at langt mere persondata end hidtil antaget kan betragtes som anonymiseret data. Dermed kan mulighederne for deling og brug af data øges.
Persondata opstår alle vegne i vores hverdag. Den almindelige opfattelse har længe været, at det er meget vanskeligt at anonymisere persondata i praksis. Men måske skal netop anonymisering fremover betragtes i et nyt perspektiv.
Der er en stor praktisk interesse i at anonymisere persondata. Hvis persondata er anonymiseret, gælder databeskyttelsesforordningen (GDPR) nemlig ikke. Dermed er den anonymiserede data heller ikke underlagt begrænsningerne i GDPR. Blandt andet i forhold til behandling udenfor EU/EØS, videregivelse af persondata osv.
Anonymiseret data i ny fortolkning
Hidtil har den almindelige opfattelse været, at der skulle rigtigt meget til, før persondata var anonymiseret. Reelt var opfattelsen nok, at det skulle være stort set umuligt at de-anonymisere data - for enhver. Uanset at modtageren ikke selv kunne de-anonymisere data, var det således ikke nok, så længe det var muligt for en eller anden part.
Den opfattelse er nu udfordret med den ny EU-dom.
Hvad var situationen?
Sagen handlede om en bank under rekonstruktion. Som et led i rekonstruktionen var det muligt for blandt andet aktionærer og investorer at indsende bemærkninger til værdiansættelsen. Når kommentarerne blev afgivet, oplyste man sin identitet. Dermed blev kommentarerne til persondata.
Alle kommentarer blev samlet og struktureret af enheden, der administrerede rekonstruktionen. Der var dog behov for at udlevere kommentarerne til et eksternt revisionsfirma i forbindelse med verificering af værdiansættelsen af banken.
Før identitetsoplysningerne blev udleveret til revisionsfirmaet, blev identitetsoplysningerne udskiftet med en unik 33-tegns ID-nøgle. Revisionsfirmaet havde således ikke adgang til identitetsoplysningerne på personerne, der stod bag kommentarerne. Kun hver persons 33-tegns ID-nøgle var tilgængelig for revisionsfirmaet. Enheden, der administrerede rekonstruktionen, havde stadig identitetsoplysningerne. Enheden kunne dermed koble hver 33-tegns ID-nøgle med identitetsoplysningerne på personerne bag.
Revisionsfirmaet kunne dermed ikke de-anonymisere datasættet – det kunne kun enheden, der administrerede rekonstruktionen.
Spørgsmålet var derfor: Var revisionsfirmaets datasæt anonymiseret eller kun pseudonymiseret?
Hvad var resultatet?
Revisionsfirmaets datasæt var anonymiseret.
Godt nok var det muligt for den administrative enhed i banken at anonymisere datasættet. Samme mulighed havde revisionsfirmaet dog ikke.
For revisionsfirmaet var det netop ikke muligt (1) lovligt og (2) med rimelige midler at få adgang til oplysningerne, der kunne kæde hver 33-tegns ID-nøgle sammen med identitetsoplysningerne på bankens aktionærer og investorer. Revisionsfirmaet havde ikke ret til at få nøglen udleveret.
Perspektivet er med andre ord afgørende. Data kan godt være anonymiseret for én part, uanset at det ikke optræder anonymiseret for andre.
Nye muligheder for deling af data?
Langt flere datasæt vil være anonymiserede med den nye afgørelse. Det giver helt nye muligheder i visse sektorer, for eksempel inden for forskning. Mange datasæt, der i dag anses for pseudonymiserede, vil reelt være anonymiserede.
Datasæt udveksles i dag ofte uden direkte identitetsoplysninger som for eksempel navn og adresse. I stedet er de erstattet af et unikt ID. Eksempelvis et kundenummer, patientnummer eller anden ID-nøgle. Hvis modtageren ikke har adgang til denne ID-nøgle – og ikke vil kunne skaffe sig adgang til den, eller med rimelighed selv gætte den – må datasættet anses for anonymiseret for modtageren.
Det åbner for nogle praktiske muligheder. Anonyme datasæt kan frit udveksles med modtagere udenfor EU/EØS, frit videregives uden indgåelse af særlige videregivelsesaftaler og frit anvendes til ethvert formål af modtageren. Der er ingen databeskyttelsesretlige begrænsninger.
Det kan overvejes, hvad implikationerne er for andre former for oplysninger. Blandt andet IP-adresser. Er de virkelig personoplysninger for almindelige virksomheder, som ikke på lovlig vis kan få udleveret de bagvedliggende oplysninger hos en teleudbyder? Hvis nej, hvad så med cookies og Google Analytics? Eller hvad med forskningsdata? Når der udveksles datasæt, hvor identitetsoplysningerne er udskiftet med en ID-nøgle? Opfattes de så stadig som persondata for modtageren?
Der er i hvert fald grund til at genoverveje, hvor grænsen mellem anonymiserede og pseudonymiserede datasæt går.
Inden vi bliver alt for begejstrede…
Selvom betydningen af EU-dommen formentlig bliver større end forventet, gør EU-dommen ikke alle personoplysninger anonyme. Det er den enkelte dataansvarlige konkrete situation, der er afgørende. Det skal dog stadig være reelt umuligt lovligt og med rimelige midler at skaffe ID-nøglen.
Det vil sige - det skal ikke bare være lidt besværligt; det skal være næsten umuligt. Derudover må det fortsat ikke være muligt at udlede identiteten af konteksten. For eksempel fordi datasættet i øvrigt indeholder tilstrækkeligt med oplysninger til at finde frem til identiteten på personerne bag oplysningerne.
EU-dommen ændrer heller ikke på, at krypterede persondata generelt anses for persondata. Det er muligt, at modtageren af et krypteret datasæt ikke lovligt kan få adgang til nøglen fra afsenderen. Men hvis det er muligt at dekryptere datasættet for modtageren, er det stadig persondata – og de fleste almindelige krypteringsteknologier kan brydes med tilstrækkelig computerkraft.
Kontakt DAHL
Har du spørgsmål til dommens betydning eller til persondata generelt, er du altid velkommen til at kontakte DAHLs specialister. Vi yder professionel rådgivning på området i et tilgængeligt sprog.
Dommen kan findes her: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62020TJ0557 (T‑557/20 – Single Resolution Board (SRB) vs. European Data Protection Supervisor (EDPS)).
Dommen er afsagt af EU-Retten og kan ankes.