Ny EU- afgørelse kan få stor indflydelse på dataoverførsler

Sagens omstændigheder

Sagen vedrørte overførsel af et datasæt mellem to virksomheder og udsprang af afviklingen af den spanske bank Banco Popular. I forlængelse af afviklingen sendte virksomheden SRB et datasæt til virksomheden Deloitte.

Datasættet indeholdt en række individuelle svar, som SRB havde indsamlet gennem et spørgeskema til aktionærerne og kreditorerne i banken Banco Popular. SRB sorterede i de indsamlede svar og sendte derefter en række af disse videre til Deloitte.

Flere af aktionærerne, som havde indsendt deres svar, klagede efterfølgende over, at de ikke af SRB var blevet informeret om, at disse data ville blive delt med Deloitte. De mente, at de ikke var blevet tilstrækkeligt informeret omkring videregivelsen af deres personoplysninger.

SRB gjorde i den forbindelse gældende, at oplysningerne, som var overført til Deloitte, ikke udgjorde personoplysninger i henhold til Den Europæiske Databeskyttelsesforordning. Da datasættet ifølge SRB ikke kunne anses som personoplysninger, havde SRB derfor ikke pligt til at underrette aktionærerne om overførslen.

Spørgsmålet i sagen var derfor, hvorvidt datasættet kunne defineres som personoplysninger efter Databeskyttelsesforordningen.

Hvornår er noget en personoplysning?

En personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person. Definitionen virker måske rimelig lige til, men det er et emne, som har givet anledning til tvivl i mange tilfælde, da det kan være svært at afgøre, netop hvornår en fysisk person er identificerbar.

Udgangspunktet er, at en information først bliver en personoplysning, når informationen er personhenførbar. Det vil sige, at det skal være muligt at tilknytte den pågældende information til en konkret fysisk person.

Hvis ikke informationen kan relateres til en bestemt fysisk person, er der ikke tale om en personoplysning i Databeskyttelsesforordningens forstand.

Pseudonymisering kontra anonymisering:

En personoplysning er pseudonymiseret, når oplysningen ikke længere kan henføres til en bestemt fysisk person uden brug af supplerende oplysninger. Hvis en oplysning på ingen måde kan henføres til en bestemt fysisk person, er oplysningen derimod blevet anonymiseret.

Dataene i den konkrete sag vedrørte tekstkommentarer indsamlet fra aktionærer og kreditorer. Da SRB havde indsamlet disse data, blev det indsamlet på en sådan måde, at SRB reelt havde mulighed for at knytte de frie tekstkommentarer til de enkelte personer, som havde indgivet kommentarerne. Dataene var derfor for SRB personhenførbare.

SRB overførte dog alene et udpluk af kommentarerne videre til Deloitte. Hver af disse kommentarer var blevet tilknyttet en kode, som SRB kunne benytte til at identificere, hvilket datasæt som det konkrete svar var blevet taget fra. Svarene i datasættet var således pseudonymiseret.

Deloitte fik overført både kommentarerne samt de tilhørende koder af SRB. På trods af at Deloitte var i besiddelse af koderne, kunne virksomheden ikke knytte kommentarerne til en konkret fysisk person uden at inddrage SRB, idet Deloitte ikke var i besiddelse af de fuldstændige datasæt.

I forbindelse med sagen blev det gjort gældende, at Deloitte ikke havde mulighed for at henføre dataene til konkrete personer, hvorfor disse data for Deloitte ikke udgjorde en personoplysning. Det menes derfor, at oplysningerne for Deloitte reelt var anonymiserede, idet identificeringen for Deloitte var praktisk umulig på egen hånd.

EU-Domstolens resultat

EU-domstolen skulle vurdere, om en modtager af et datasæt kan siges at have modtaget personoplysninger, selvom det kun er afsenderen, der kan henføre dataene til de konkrete personer.

Det vigtige spørgsmål i sagen var derfor, om der er tale om en personoplysning, blot fordi nogen har mulighed for at henføre det til personerne bag. Med andre ord skulle EU-Domstolen afgøre, om pseudonymiserede oplysninger altid udgør en personoplysning.

Med dommen af 4. september 2025 har EU-Domstolen fastslået, at pseudonymiserede oplysninger ikke i alle tilfælde eller for alle modtagere skal anses som personoplysninger.

Hvis oplysningerne er pseudonymiserede på en sådan måde, at det effektivt forhindrer andre personer i at identificere den konkrete person, så vil oplysningerne ikke længere kunne kategoriseres som personhenførbare.

Dommens betydning

Dommen åbner op for nemmere udveksling og behandling af data, og den kan derfor få stor betydning på flere områder.

Når pseudonymiserede oplysninger krypteres tilstrækkeligt, vil virksomheder kunne tilrettelægge deres databehandling, så behandlingen falder uden for GDPR’s område. Derved bliver det nemmere at overføre datasæt uden at beskyttelsen af enkeltpersoner kompromitteres.

Det kan dermed blive lettere at indgå samarbejder vedrørende udveksling af data, herunder også udveksling af data med virksomheder i tredjelande. Blandt andet i forbindelse med forskning, udarbejdelse af undersøgelser og statistik, kan dommen åbne op for mange muligheder.

Overholdelse af Databeskyttelsesforordningen skaber udfordringer for mange. GDPR er for mange ukonkret og svært at finde rundt i, og der stilles mange krav til virksomhedernes overholdelse af reglerne.

Det er derfor altid vores anbefaling at du kontakter en specialist, hvis du er i tvivl om håndteringen af personoplysninger i din virksomhed.

Hos TVC Advokatfirma er vi altid klar til en uforpligtende drøftelse om din sag.