Afgørelse i principiel GDPR-sag: EU-Domstolen har taget stilling til fortolkning af, hvad der er en personoplysning

Den 4. september 2025 er der faldet dom i den såkaldte Deloitte-sag. Dommen fastslår, at videregivelse af pseudonymiserede personoplysninger betragtes som anonyme, hvis modtageren ikke har adgang til den nøgle – altså de oplysninger – der gør det muligt at genidentificere en person.

Hvilken betydning får afgørelsen for dig, der arbejder med databeskyttelse?

Afgørelsen har vidtrækkende betydning for videregivelse og anvendelse af GDPR i praksis, da den betyder, at pseudonymisering kan anvendes som en effektiv foranstaltning, hvis du skal videregive pseudonymiseret personoplysninger.

Det gør det således nemmere at videregive personoplysninger, og har også betydning i forhold til håndtering af tredjelandsoverførsler.

Sagens baggrund 

Under afviklingen af den tidligere spanske bank, Banco Popular Español, blev banken i juni 2017 opkøbt af Banco Santander som led i en redningsplan.

Den fælles afviklingsmyndighed (SRB) fastsatte proceduren for afviklingen og stod for høring af aktionærer og kreditorer. Høringen bestod i en undersøgelse af aktionærernes og kreditorernes holdninger til opkøbet, og om de mente, at de ville have fået en bedre behandling, hvis Banco Popular Español var blevet taget under konkursbehandling.

De aktionærer og kreditorer, der ønskede at udtale sig, skulle bl.a. fremlægge omfattende bevis for identitet og ejerskab af kapitalinstrumenter. Selve høringen bestod af besvarelse af en række spørgsmål.

SRB gennemgik herefter en analyse og kategorisering af besvarelserne. Dette indebar en pseudonymisering af besvarelserne, og SRB videregav herefter 1104 af disse besvarelser til Deloitte. Det bemærkes, at ifølge SRB baserede disse besvarelser sig primært på offentlige kilder.

De besvarelser, der var blevet videregivet, havde en såkaldt alfanumerisk kode, og var dermed pseudonymiseret, og det var kun SRB, der havde adgang til ”nøglen”, og kunne identificere de pågældende personer.

Klagen: Opfyldte SRB sin oplysningspligt overfor aktionærer og kreditorer?

På baggrund af videregivelsen af besvarelserne indgav de berørte aktionærer og kreditorer fem klager til den Europæiske Tilsynsførende for Databeskyttelse (EDPS).

De mente ikke, at de var blevet informeret om videregivelsen af deres oplysninger, og at SRB dermed ikke havde opfyldt sin oplysningspligt efter GDPR.

Men da der er tale om pseudonymiserede personoplysninger, rejste dette spørgsmålet om, hvorvidt der overhovedet er sket en videregivelse af personoplysninger.

Hvad skulle EU-Domstolen tage stilling til i Deloitte-sagen, og hvad blev sagens udfald?

For det første skulle EU-Domstolen tage stilling til, om det datasæt af alfanumeriske koder, som blev videregivet til Deloitte, var personoplysninger.

Derudover skulle EU-Domstolen helt principielt tage stilling til, om en pseudonym oplysning altid er at betragte som en personoplysning (objektiv, tredjemandsbaseret fortolkning), eller om det afhænger af, om modtageren kan foretage en identifikation (subjektiv, modtagerbaseret fortolkning).

I det første forhold fastslog EU-Domstolen, at oplysningspligten gælder forholdet mellem den registrerede og den dataansvarlige (SRB), og at SRB’s oplysningspligt derfor fandt anvendelse forud for videregivelsen af oplysningerne - uanset om disse oplysninger efter en pseudonymisering udgør personoplysninger eller ej.

SRB skulle derfor have oplyst om videregivelsen.

I det andet forhold, fastslog EU-Domstolen, at pseudonymiserede oplysninger kan blive betragtet som anonyme – og dermed ikke en personoplysning - hvis det effektivt forhindres, at modtageren kan genidentificere personerne.