Databeskyttelsesrådet vedtager retningslinjer for pseudonymisering og baner vejen for at forbedre samarbejdet med konkurrencemyndighederne

17 January 2025

Bruxelles, den 17. januar – På plenarmødet i januar 2025 vedtog Det Europæiske Databeskyttelsesråd retningslinjer for pseudonymisering samt en erklæring om samspillet mellem konkurrenceretten og databeskyttelse.

Databeskyttelsesrådet præciserer anvendelsen af pseudonymisering med henblik på overholdelse af GDPR 

Databeskyttelsesforordningen indfører udtrykket "pseudonymisering"* og henviser til det som en sikkerhedsforanstaltning, der kan være hensigtsmæssig og effektiv med henblik på at opfylde databeskyttelsesforpligtelserne. Databeskyttelsesrådet præciserer i sine retningslinjer definitionen og anvendelsen af pseudonymisering og pseudonymiserede data og fordelene ved pseudonymisering.

Retningslinjerne indeholder to vigtige juridiske præciseringer:

  1. Pseudonymiserede data, som kan henføres til en person ved brug af yderligere oplysninger, forbliver oplysninger vedrørende en identificerbar fysisk person og er derfor stadig personoplysninger. Hvis oplysningerne kan knyttes tilbage til en person af den dataansvarlige eller en anden person, forbliver de personoplysninger. 

  2. Pseudonymisering kan reducere risici og gøre det lettere at anvende legitime interesser som retsgrundlag (artikel 6, stk. 1, litra f), i GDPR), så længe alle andre krav i GDPR er opfyldt. På samme måde kan pseudonymisering bidrage til at sikre forenelighed med det oprindelige formål (artikel 6, stk. 4, i GDPR).

Retningslinjerne forklarer også, hvordan pseudonymisering kan hjælpe organisationer med at opfylde deres forpligtelser vedrørende gennemførelsen af databeskyttelsesprincipper (artikel 5 i GDPR), databeskyttelse gennem design og standardindstillinger (artikel 25 i GDPR) og sikkerhed (artikel 32 i GDPR). 

Endelig analyserer retningslinjerne tekniske foranstaltninger og garantier, når der anvendes pseudonymisering, for at sikre fortrolighed og forhindre uautoriseret identifikation af enkeltpersoner. 

Retningslinjerne vil være genstand for offentlig høring indtil den 28. februar 2025, hvilket giver interessenterne mulighed for at fremsætte bemærkninger og gøre det muligt at indarbejde den fremtidige udvikling i retspraksis.

Samspil mellem databeskyttelseslovgivningen og konkurrencelovgivningen: Databeskyttelsesrådets holdning til, hvordan samarbejdet mellem tilsynsmyndighederne kan forbedres

På plenarmødet vedtog Databeskyttelsesrådet også et holdningsdokument om samspillet mellem databeskyttelseslovgivningen og konkurrencelovgivningen. 

EU-Domstolens dom i sagen Meta mod Bundeskartellamt af 4. juli 2023 viste klart, at databeskyttelses- og konkurrencemyndighederne i nogle tilfælde skal arbejde sammen for at opnå en effektiv og koordineret håndhævelse af databeskyttelses- og konkurrencelovgivningen. Selv om der er tale om særskilte retsområder, der forfølger forskellige mål inden for forskellige rammer, kan de i nogle tilfælde finde anvendelse på de samme enheder. Det er derfor vigtigt at vurdere situationer, hvor lovene kan krydse hinanden.

I dette positionspapir forklarer Databeskyttelsesrådet, hvordan databeskyttelses- og konkurrencelovgivningen interagerer. Den foreslår, at der tages skridt til at indarbejde markeds- og konkurrencefaktorer i databeskyttelsespraksis, og at databeskyttelsesreglerne tages i betragtning i konkurrencevurderinger. Den indeholder også anbefalinger til forbedring af samarbejdet mellem tilsynsmyndighederne. Det drejer sig f.eks. om: Myndighederne bør overveje at oprette et enkelt kontaktpunkt til at forvalte koordineringen med andre tilsynsmyndigheder.

Næstformand for Databeskyttelsesrådet, Zdravko Vukíc, udtaler: "Itakt med at forretningsmodellerne udvikler sig, bliver behovet for at beskytte personoplysninger stadig mere centralt. Databeskyttelsesrådet fremmer sammenhæng mellem særskilte, men interagerende reguleringsområder for at sikre den bedst mulige beskyttelse af enkeltpersoner. Med henblik herpå vil vi fortsat samarbejde med konkurrencemyndighederne om at styrke databeskyttelsesmyndighedernes evne til at tage hensyn til den økonomiske kontekst og konkurrencemyndighedernes evne til at indarbejde databeskyttelseshensyn i deres vurderinger og afgørelser."

 

Bemærkning til redaktører:

*"Pseudonymisering" defineres i artikel 4, stk. 5, i GDPR som "behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af yderligere oplysninger, forudsat at sådanne yderligere oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person."

 

 

Priopćenje za medije objavljeno ovdje automatski je prevedeno s engleskog jezika.  Europski odbor za zaštitu podataka ne jamči točnost prijevoda. Ako postoji sumnja, pogledajte službeni tekst u verziji na engleskom jeziku.