Nyheder

Nye muligheder for deling af persondata

En ny EU-dom konkluderer, at langt mere persondata end hidtil antaget kan betragtes som anonymiseret data. Dermed kan mulighederne for deling og brug af data øges.

Persondata opstår alle vegne i vores hverdag. Den almindelige opfattelse har længe været, at det er meget vanskeligt at anonymisere persondata i praksis. Men måske skal netop anonymisering fremover betragtes i et nyt perspektiv.

Der er en stor praktisk interesse i at anonymisere persondata. Hvis persondata er anonymiseret, gælder databeskyttelsesforordningen (GDPR) nemlig ikke. Dermed er den anonymiserede data heller ikke underlagt begrænsningerne i GDPR. Blandt andet i forhold til behandling udenfor EU/EØS, videregivelse af persondata osv.

Anonymiseret data i ny fortolkning

Hidtil har den almindelige opfattelse været, at der skulle rigtigt meget til, før persondata var anonymiseret. Reelt var opfattelsen nok, at det skulle være stort set umuligt at de-anonymisere data - for enhver. Uanset at modtageren ikke selv kunne de-anonymisere data, var det således ikke nok, så længe det var muligt for en eller anden part.

Den opfattelse er nu udfordret med den ny EU-dom.

Hvad var situationen?

Sagen handlede om en bank under rekonstruktion. Som et led i rekonstruktionen var det muligt for blandt andet aktionærer og investorer at indsende bemærkninger til værdiansættelsen. Når kommentarerne blev afgivet, oplyste man sin identitet. Dermed blev kommentarerne til persondata.

Alle kommentarer blev samlet og struktureret af enheden, der administrerede rekonstruktionen. Der var dog behov for at udlevere kommentarerne til et eksternt revisionsfirma i forbindelse med verificering af værdiansættelsen af banken.

Før identitetsoplysningerne blev udleveret til revisionsfirmaet, blev identitetsoplysningerne udskiftet med en unik 33-tegns ID-nøgle. Revisionsfirmaet havde således ikke adgang til identitetsoplysningerne på personerne, der stod bag kommentarerne. Kun hver persons 33-tegns ID-nøgle var tilgængelig for revisionsfirmaet. Enheden, der administrerede rekonstruktionen, havde stadig identitetsoplysningerne. Enheden kunne dermed koble hver 33-tegns ID-nøgle med identitetsoplysningerne på personerne bag.

Revisionsfirmaet kunne dermed ikke de-anonymisere datasættet – det kunne kun enheden, der administrerede rekonstruktionen.

Spørgsmålet var derfor: Var revisionsfirmaets datasæt anonymiseret eller kun pseudonymiseret? 

Hvad var resultatet?

Revisionsfirmaets datasæt var anonymiseret.

Godt nok var det muligt for den administrative enhed i banken at anonymisere datasættet. Samme mulighed havde revisionsfirmaet dog ikke.

For revisionsfirmaet var det netop ikke muligt (1) lovligt og (2) med rimelige midler at få adgang til oplysningerne, der kunne kæde hver 33-tegns ID-nøgle sammen med identitetsoplysningerne på bankens aktionærer og investorer. Revisionsfirmaet havde ikke ret til at få nøglen udleveret.

Perspektivet er med andre ord afgørende. Data kan godt være anonymiseret for én part, uanset at det ikke optræder anonymiseret for andre. 

Nye muligheder for deling af data?

Langt flere datasæt vil være anonymiserede med den nye afgørelse. Det giver helt nye muligheder i visse sektorer, for eksempel inden for forskning. Mange datasæt, der i dag anses for pseudonymiserede, vil reelt være anonymiserede.

Datasæt udveksles i dag ofte uden direkte identitetsoplysninger som for eksempel navn og adresse. I stedet er de erstattet af et unikt ID. Eksempelvis et kundenummer, patientnummer eller anden ID-nøgle. Hvis modtageren ikke har adgang til denne ID-nøgle – og ikke vil kunne skaffe sig adgang til den, eller med rimelighed selv gætte den – må datasættet anses for anonymiseret for modtageren.

Det åbner for nogle praktiske muligheder. Anonyme datasæt kan frit udveksles med modtagere udenfor EU/EØS, frit videregives uden indgåelse af særlige videregivelsesaftaler og frit anvendes til ethvert formål af modtageren. Der er ingen databeskyttelsesretlige begrænsninger.

Det kan overvejes, hvad implikationerne er for andre former for oplysninger. Blandt andet IP-adresser. Er de virkelig personoplysninger for almindelige virksomheder, som ikke på lovlig vis kan få udleveret de bagvedliggende oplysninger hos en teleudbyder? Hvis nej, hvad så med cookies og Google Analytics? Eller hvad med forskningsdata? Når der udveksles datasæt, hvor identitetsoplysningerne er udskiftet med en ID-nøgle? Opfattes de så stadig som persondata for modtageren?

Der er i hvert fald grund til at genoverveje, hvor grænsen mellem anonymiserede og pseudonymiserede datasæt går. 

Inden vi bliver alt for begejstrede…

Selvom betydningen af EU-dommen formentlig bliver større end forventet, gør EU-dommen ikke alle personoplysninger anonyme. Det er den enkelte dataansvarlige konkrete situation, der er afgørende. Det skal dog stadig være reelt umuligt lovligt og med rimelige midler at skaffe ID-nøglen.

Det vil sige - det skal ikke bare være lidt besværligt; det skal være næsten umuligt. Derudover må det fortsat ikke være muligt at udlede identiteten af konteksten.  For eksempel fordi datasættet i øvrigt indeholder tilstrækkeligt med oplysninger til at finde frem til identiteten på personerne bag oplysningerne.

EU-dommen ændrer heller ikke på, at krypterede persondata generelt anses for persondata. Det er muligt, at modtageren af et krypteret datasæt ikke lovligt kan få adgang til nøglen fra afsenderen. Men hvis det er muligt at dekryptere datasættet for modtageren, er det stadig persondata – og de fleste almindelige krypteringsteknologier kan brydes med tilstrækkelig computerkraft.

Kontakt DAHL

Har du spørgsmål til dommens betydning eller til persondata generelt, er du altid velkommen til at kontakte DAHLs specialister. Vi yder professionel rådgivning på området i et tilgængeligt sprog.

Dommen kan findes her: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62020TJ0557 (T‑557/20 – Single Resolution Board (SRB) vs. European Data Protection Supervisor (EDPS)).

Dommen er afsagt af EU-Retten og kan ankes.

Tilmeld dig nyhedsbrevet DAHL Nyt

Modtag vores nyhedsbrev pr. e-mail og bliv opdateret på juridiske emner og nye kurser.

Læs betingelser

Betingelse for modtagelse af nyhedsbrevet DAHL Nyt

Hvem udsender nyhedsbrevet?

Nyhedsbrevet er en service, der udbydes af DAHL Advokatpartnerselskab. Vores fulde kontaktoplysninger er:

DAHL Advokatpartnerselskab
Lundborgvej 18
8800 Viborg
CVR. nr.: 37 31 00 85

Du vil kun modtage markedsføringsmateriale fra DAHL Advokatpartnerselskab.

Hvilke oplysninger indsamles om mig?

DAHL Advokatpartnerselskab behandler din oplyste e-mailadresse og dit navn – dette er alt, vi behøver for at kunne sende dig nyhedsbreve. Når du via nyhedsbrevet tilmelder dig et af vores arrangementer, vil vi i nogle tilfælde ligeledes behandle oplysninger om firmanavn og telefonnummer.

Vi indsamler desuden oplysninger om din adfærd i forbindelse med din brug af nyhedsbrevet – herunder oplysninger om om vores nyhedsbrev bliver åbnet, hvor lang tid e-mailen er åben, og om der klikkes på links i nyhedsbrevet. Du skal herudover være opmærksom på, at hvis du klikker på links i nyhedsbrevet til vores hjemmeside, kan vi indsamle yderligere oplysninger om dig, hvis du accepterer, at vores hjemmeside bruger cookies. Du kan finde yderligere information om vores brug af cookies i vores cookiepolitik.

Hvad bruger vi dine oplysninger til?

Når du tilmelder dig vores nyhedsbrev, bruger vi dine oplysninger til at udsende faglige nyheder, kursus- og øvrige arrangementstilbud samt andet markedsføringsmateriale til dig. Vi kan endvidere bruge dine oplysninger til at udsende orienterende e-mails om DAHL Advokatpartnerselskab eller om vores nyhedsbrev. Vores udsendelse af nyhedsbrevet sker på grundlag af dit samtykke.

De oplysninger, vi indsamler om dig og din adfærd i forbindelse med din brug af nyhedsbrevet, anvender vi til at forbedre vores service og indhold, så vi i fremtiden kan blive endnu bedre til at målrette og tilpasse indholdet i vores nyhedsbreve efter dine interesser. Vi behandler dine personoplysninger til disse formål efter reglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f. Hvis du ikke ønsker, at vi behandler dine oplysninger til disse formål, har du til enhver tid ret til at gøre indsigelse mod behandlingen.

Oplysninger om din brug af nyhedsbrevet anvender vi herudover til statistiske formål i anonymiseret form.

Dine oplysninger behandles fortroligt og sikkert

Vi opbevarer dine oplysninger fortroligt og sikkert. Vi har implementeret de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, der sikrer, at dine oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

Vi bruger en underleverandør til vores drift af IT. Vi har sikret, at vores IT-udbyder er underlagt samme forpligtelse, og at de alene handler på vores instruks.

Hvor ofte udsendes nyhedsbreve?

Vi udsender vores nyhedsbrev, når vi mener, at vi har noget vigtigt eller nyt at fortælle dig. Nyhedsbrevet udkommer ikke med faste intervaller. Det er derfor forskelligt, hvor ofte du kan forvente at modtage nyhedsbreve fra os. Vi bestræber os dog på at begrænse antallet, så vores nyhedsbreve ikke fylder hele din indbakke.

Vi videregiver ikke dine oplysninger

Vi videregiver ikke dine oplysninger til andre i kommerciel henseende. Vi videregiver kun oplysninger, hvis vi er forpligtet til det efter loven, eller hvis vi forpligtet til det efter en retskendelse.

Du kan altid rette eller ændre dine kontaktoplysninger

Du kan til enhver tid ændre eller rette i dine kontaktoplysninger (din e-mailadresse og navn) ved at afmelde dig nyhedsbrevet, og derefter tilmelde dig igen eller ved at sende en e-mail til tvc@dahllaw.dk, hvori du angiver ændringsønsker.

Det er beskrevet nedenfor, hvordan du framelder dig vores nyhedsbrev.

Du kan altid afmelde dig yderligere henvendelser

Du kan til enhver tid trække dit samtykke tilbage og framelde dig nyhedsbrevet. Når du har frameldt dig nyhedsbrevet, modtager du ikke yderligere fra os, medmindre du har givet andet samtykke til, at vi må henvende os til dig. Vi sender dig dog en bekræftelse på, at vi sletter dig fra modtagerlisten for vores nyhedsbrev, og vi sletter derefter dine oplysninger på vores modtagerliste.

Nyhedsbrevet kan afmeldes ved at klikke på linket ”afmeld nyhedsbrev”, som er indeholdt i hvert nyhedsbrev, du modtager fra os. Du kan også afmelde nyhedsbrevet ved at sende en e-mail til tvc@dahllaw.dk, hvori du oplyser dit navn og din e-mailadresse.

Hvor længe opbevarer I oplysningerne om mig?

Vi opbevarer og behandler dine oplysninger lige så længe, som du er tilmeldt vores nyhedsbrev. Hvis du afmelder dig fra nyhedsbrevet, sletter vi dine oplysninger.

Hvis du framelder dig vores nyhedsbrev, anonymiseres alle statistiske data om din brug af nyhedsbrevet. Anonymiseringen sker på en sådan måde, at det ikke efterfølgende er muligt at deanonymisere oplysningerne igen.

Dine øvrige rettigheder efter persondatalovgivningen

Du har til enhver tid mulighed for at gøre brug dine rettigheder efter persondatalovgivningen.

Du kan bl.a. anmode om indsigt i de personoplysninger, som vi behandler, samt gøre indsigelse mod behandlingen af oplysningerne. Du kan desuden anmode om berigtigelse eller sletning af eventuelle ukorrekte oplysninger om dig selv, trække et samtykke til behandling af dine personoplysninger tilbage samt gøre din ret til dataportabilitet gældende. I visse tilfælde kan du endvidere have ret til at få behandlingen af dine personoplysninger begrænset.

Hvis du ønsker at gøre brug af én eller flere af dine rettigheder, kan du kontakte cbm@dahllaw.dk.

Hvis du er uenig, i den måde vi behandler oplysninger om dig på, kan du klage til Datatilsynet.

Du modtager nu DAHL Nyt

Forretningsområder du ønsker info om:

  • Intet valgt

Din information

Du kan altid trække dit samtykke tilbage og afmelde dig vores nyhedsbrev

Accepter betingelserne