Bryssel den 17 januari – Under sitt plenarmöte i januari 2025 antog Europeiska dataskyddsstyrelsen (EDPB) riktlinjer om pseudonymisering samt ett uttalande om samspelet mellan konkurrenslagstiftning och dataskydd.
EDPB förtydligar användningen av pseudonymisering för efterlevnad av den allmänna dataskyddsförordningen
Genom den allmänna dataskyddsförordningen införs termen ”pseudonymisering”* och det hänvisas till den som en skyddsåtgärd som kan vara lämplig och effektiv för att uppfylla dataskyddsskyldigheterna. I sina riktlinjer klargör EDPB definitionen och tillämpligheten av pseudonymisering och pseudonymiserade uppgifter samt fördelarna med pseudonymisering.
Riktlinjerna innehåller två viktiga rättsliga förtydliganden:
- Pseudonymiserade uppgifter, som kan hänföras till en individ genom användning av ytterligare information, förblir information relaterad till en identifierbar fysisk person och är därför fortfarande personuppgifter. Om uppgifterna kan kopplas tillbaka till en enskild person av den personuppgiftsansvarige eller någon annan förblir de personuppgifter.
- Pseudonymisering kan minska riskerna och göra det lättare att använda legitima intressen som rättslig grund (artikel 6.1 f i den allmänna dataskyddsförordningen), så länge alla andra krav i den allmänna dataskyddsförordningen är uppfyllda. På samma sätt kan pseudonymisering bidra till att säkerställa förenlighet med det ursprungliga syftet (artikel 6.4 i dataskyddsförordningen).
I riktlinjerna förklaras också hur pseudonymisering kan hjälpa organisationer att uppfylla sina skyldigheter när det gäller genomförandet av dataskyddsprinciper (artikel 5 i den allmänna dataskyddsförordningen), inbyggt dataskydd och dataskydd som standard (artikel 25 i den allmänna dataskyddsförordningen) och säkerhet (artikel 32 i den allmänna dataskyddsförordningen).
Slutligen analyseras i riktlinjerna tekniska åtgärder och skyddsåtgärder vid användning av pseudonymisering för att säkerställa konfidentialitet och förhindra obehörig identifiering av enskilda personer.
Riktlinjerna kommer att bli föremål för offentligt samråd fram till den 28 februari 2025, vilket ger berörda parter möjlighet att lämna synpunkter och göra det möjligt att införliva framtida utveckling i rättspraxis.
Samspelet mellan dataskyddslagstiftningen och konkurrenslagstiftningen: Europeiska dataskyddsstyrelsens syn på hur samarbetet mellan tillsynsmyndigheter kan förbättras.
Under plenarmötet antog EDPB också ett ståndpunktsdokument om samspelet mellan dataskyddslagstiftningen och konkurrenslagstiftningen.
I EU-domstolens dom av den 4 juli 2023 i målet Meta mot Bundeskartellamt angavs tydligt att dataskydds- och konkurrensmyndigheter i vissa fall måste samarbeta för att uppnå en effektiv och samordnad tillämpning av dataskydds- och konkurrenslagstiftningen. Även om dessa är separata rättsområden med olika mål inom olika ramar, kan de i vissa fall gälla för samma enheter. Det är därför viktigt att bedöma situationer där lagarna kan korsa varandra.
I detta ståndpunktsdokument förklarar EDPB hur dataskydd och konkurrenslagstiftning samverkar. I meddelandet föreslås åtgärder för att integrera marknads- och konkurrensfaktorer i dataskyddspraxis och för att dataskyddsregler ska beaktas vid konkurrensbedömningar. Den innehåller också rekommendationer för att förbättra samarbetet mellan tillsynsmyndigheterna. Till exempel: Myndigheterna bör överväga att inrätta en enda kontaktpunkt för att hantera samordningen med andra tillsynsmyndigheter.
Europeiska dataskyddsstyrelsens vice ordförande Zdravko Vukíc sade: ”Itakt med att affärsmodellerna utvecklas blir behovet av att skydda personuppgifter allt viktigare. EDPB främjar samstämmighet mellan separata men samverkande regleringsområden för att säkerställa bästa möjliga skydd av enskilda personer. I detta syfte kommer vi att fortsätta att arbeta tillsammans med konkurrensmyndigheterna för att stärka dataskyddsmyndigheternas förmåga att ta hänsyn till det ekonomiska sammanhanget och konkurrensmyndigheternas förmåga att införliva dataskyddshänsyn i sina bedömningar och beslut.”
Meddelande till redaktörer:
*”Pseudonymisering” definieras i artikel 4.5 i dataskyddsförordningen som ”behandling av personuppgifter på ett sådant sätt att personuppgifterna inte längre kan tillskrivas en viss registrerad utan att ytterligare information används, förutsatt att sådan ytterligare information förvaras separat och är föremål för tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.”
Pressmeddelandet som publiceras här har översatts automatiskt från engelska. EDPB garanterar inte att översättningen är korrekt. Vänligen se den officiella texten i den engelska versionen om det finns några tvivel.