E TT RELATIVT FÖRHÅLLNINGSSÄTT TILL PSEUDONYMISERADE UPPGIFTER

Enligt definitionen av pseudonymisering kan pseudonymiserade personuppgifter endast tillskrivas personer med hjälp av kompletterande information. Det är dock oklart om den blotta existensen av sådan kompletterande information bör göra att pseudonymiserade uppgifter utgör personuppgifter, eller om tillgången till de kompletterande uppgifterna kan ha bäring i en bedömning av risken för

176 Mourby m.fl. s. 226.

51

identifiering.¹⁷⁷ Grundpremissen för att tillgången ska tillmätas betydelse är att ett relativt förhållningssätt till risken för identifiering intas.

Som nämnts tidigare i avsnitt 5.2 har svenska myndigheter vid ett antal tillfällen särskilt vidhållit ett absolut förhållningssätt till information som pseudo-nymiserats. Det ska dock framhållas att det innan ikraftträdandet av GDPR i medlemsstaterna inom EU förelåg andra uppfattningar vad avser pseudonymiserad information. Dataskyddsmyndigheter i stater såsom Storbritannien, Tyskland, Nederländerna och Portugal menade att pseudonymiserad information endast skulle vara att betrakta som personuppgifter i förhållande till datainnehavare som även hade kompletterande information som kunde identifiera individer.¹⁷⁸ Beaktandet av tillgången till kompletterande information gör att myndigheternas förhållningssätt till identifieringsrisk bör ha varit att betrakta som relativt.

För den fortsatta diskussionen av förhållningssätten kan ett exempel demonstrera verka förtydligande. Företag A innehar personuppgifter som pseudonymiseras. Kvar har företag A således ett dataset med pseudonymiserade uppgifter samt en informationsnyckel som utgörs av separerad kompletterande information vilken kan tillskriva enskilda individer de pseudonymiserade uppgifterna. Företag A överför en kopia av den pseudonymiserade informationen – utan den kompletterande informationen – till företag B. Frågan är följaktligen om den pseudonymiserade informationen bör vara att betrakta som personuppgifter för företag B?

Enligt den allmänna definitionen av pseudonymisering i art. 4.5 GDPR bör frågan i det förra stycket besvaras jakande. Med en bedömning utifrån beaktandeskäl 26 i GDPR kan dock svaret diskuteras vidare. Företag B innehar i det presenterade exemplet inte den information som enligt definitionen krävs för att uppgifterna ska kunna tillskrivas individer. Enligt min mening är det således

177 Se Millard & Hon s. 77 samt avsnitt 5.2 ovan.

178 SEC/2012/0072 final s. 15 i kapitel 10.

52

ifrågasättbart om de kompletterande uppgifterna som A innehar bör anses utgöra ett hjälpmedel som B, i enlighet med lydelsen i beaktandeskäl 26, rimligen kan komma att använda för identifiering. En bedömning genom vilken pseudonymiserade uppgifter inte betraktas som identifierbara kan potentiellt rymmas i lydelsen av beaktandeskälet. Genom användningen av ordet bör i formuleringen om att ”[p]ersonuppgifter som har pseudonymiserats […] bör anses som uppgifter om en identifierbar fysisk person” öppnar lydelsen rimligen upp för att pseudonymiserade uppgifter åtminstone i undantagsfall inte ska betraktas som uppgifter om en identifierbar person.¹⁷⁹

Risken med pseudonymisering som metod är att den inte sällan lämnar information genom vilken individer indirekt kan identifieras. Även ett antal anonymiseringsmetoder lämnar dock liknande information men bedöms utifrån premisser som i nuläget inte uttryckligen ska användas vad avser pseudonymiserad information.¹⁸⁰ Enligt min mening bör bedömningen vad avser identifieringsrisken i pseudonymiserad information av systematiska skäl motsvara bedömningen av annan information i GDPR. Det bör särskilt anses motiverat i situationer som den i exemplet där företag B har begränsade möjligheter att identifiera personerna i det pseudonymiserade datasetet. Likt bedömningen i Breyer bör B:s praktiska möjligheter till identifiering undersökas, samt om en identifiering skulle kräva orimliga resurser i tid, arbetskraft och kostnader.

Resultatet av en riskbedömning i varje enskilt fall bör bl.a. vara avhängigt mängden och typen av information som kvarstår efter en pseudonymisering samt tillgången till kompletterande information. Som domstolen och generaladvokaten i Breyer framförde bör även frågan om den kompletterande informationen kan

179 Meningens logiska koherens kan ifrågasättas. Av meningen framgår att informationen utgör personuppgifter efter pseudonymisering. Samtidigt öppnar formuleringen upp för att ett grundläggande krav för att viss information ska utgöra personuppgifter inte alltid är uppfyllt vad avser pseudonymiserad information.

180 Se avsnitt 3.2.1 ovan om bedömningsgrunderna för anonymiseringsmetoder samt beaktandeskäl 26 i GDPR om bedömning av identifieringsrisk.

53

tillgås på laglig väg bedömas.¹⁸¹ För det fall ett avtal mellan parterna i exemplet ovan stipulerar att B, under hot om vite, inte under några omständigheter får försöka identifiera personerna bakom pseudonymerna bör risken för identifiering anses minska. Enligt svensk rätt medför en sådan klausul inte att B:s beredande av tillgång till kompletterande information som kan identifiera individer är olaglig.

Klausulen bör dock resultera i att den kompletterande informationen av civilrättsliga skäl anses bli mindre attraktiv att tillgå. Enligt min mening bör sådana civilrättsliga restriktioner, likt legala begränsningar,¹⁸² utifrån ett relativt förhållningssätt minska risken för identifiering till följd av att de begränsar incitamenten till att identifiera enskilda individer.

Som nämnts ovan är det som naturligtvis talar emot ett relativt förhållningssätt i identifieringsbedömningen avseende pseudonymiserad information att pseudonymiseringen i egenskap av anonymiseringsmetod kan vara att betrakta som svag. Särskiljningsrisk, länkbarhet och inferensrisk, vilka alla beaktas i bedömningen av anonymiseringsmetoders effektivitet, är i olika utsträckning framträdande vad avser pseudonymisering.¹⁸³ För att skydda enskilda individers integritet tillfredställande finns därför visst stöd för att pseudonymiserade uppgifter i varje situation bör vara att betrakta som personuppgifter. Med en sådan hållning följer dock ett antal frågor rörande dels pseudonymiseringsdefinitionens omfattning, dels om det kan anses motiverat att behandla varje situation likadant trots att identifieringsrisken reellt sett kan variera i olika situationer.

En möjlig risk med att ha en för vid definition av pseudonymisering är att säkerhets- eller anonymiseringstekniker vilka liknar pseudonymiserings-förfaranden, men som i realiteten potentiellt är säkrare än pseudonymisering, kan

181 Jfr mål C-582/14 p. 46.

182 Se resonemanget i avsnitt 2.3.8 om att olagligheten i tillgången till ett visst hjälpmedel endast bör resultera i att användningen av hjälpmedlet betraktas vara mindre sannolik, men inte att användningen bedöms vara utesluten.

183 WP216 s. 21.

54

bli mindre eftertraktade att nyttja av datainnehavare.¹⁸⁴ Istället för att information som blivit föremål för teknikerna bedöms utifrån vilka hjälpmedel som rimligen kan komma att användas för att möjliggöra identifiering kan informationen betraktas som personuppgifter till följd av att de liknar pseudonymisering.¹⁸⁵ Med beaktande av dataminimeringsintressen bör en sådan utveckling inte anses eftersträvansvärd. Istället för att tillgodose enskilda individers integritetsintressen kan en för vid definition således ge motsatt effekt om datainnehavare anser att nyttjandet av tekniker som liknar pseudonymisering inte är försvarbart.

Tidigare i detta avsnitt har det visats att risken för identifiering efter att en pseudonymisering genomförts sannolikt kan minska genom att olika åtgärder används. Därtill har det diskuterats om riskerna kan vara olika för olika parter i situationer där pseudonymiserad information innehas av fler än en part. I avsaknad av praxis eller annan vägledning är det upp till myndigheterna inom EU, och särskilt EUD, att pröva om identifieringsrisken i enskilda situationer kan vara tillräckligt begränsad för att pseudonymiserad information inte ska anses utgöra personuppgifter. Vid en prövning hade med stor sannolikhet de flesta pseudonymiserade uppgifterna varit att betrakta som personuppgifter till följd av de risker som föreligger. Det i sig bör dock inte medföra att all pseudonymiserad information direkt anses utgöra personuppgifter. Pseudonymiserad information bör likt anonymiserad information bedömas utifrån de enskilda omständigheterna i varje situation. Särskilt i situationer där pseudonymiserad information innehas av en part som inte besitter en informationsnyckel är det sannolikt praktiskt möjligt att, med vissa specifika vidtagna åtgärder, åstadkomma en risknivå som gör att informationen bör betraktas som anonym för den parten.

184 Se även avsnitt 4.1 där det bl.a. diskuteras att pseudonymiseringsdefinitionen i dess nuvarande utformning potentiellt kan täcka in förfaranden som inte faller under den sedvanliga definitionen av pseudonymisering.

185 Mourby m.fl. s. 227.

55

Det krävs att ett relativt förhållningssätt intas i identifieringsriskbedömningen vad avser pseudonymiserad information för att såväl integritets- som utvecklings-intressen ska tillgodoses på ett rimligt sätt och för att väsentliga praktiska element ska bli del av bedömningen. Om identifieringsrisken i själva verket kan variera olika parter emellan, såsom i exemplet ovan, kan ett absolut förhållningssätt till identifieringsrisken sannolikt inte återspegla verkliga förhållanden och bör därför inte betraktas vara ändamålsenligt.