EU-Domstolens SRB-dom: Et nybrud i fortolkningen af personoplysninger

EU-Domstolen har i en afgørelse 4. september 2025 fortolket begrebet personoplysninger på en måde, der kan få stor betydning for, hvordan virksomheder og myndigheder fremadrettet kan dele data.  

Derfor dykker vi i denne artikel ned i dommen og belyser, hvilke konsekvenser den forventes at få for dig, der arbejder med databeskyttelse. 

I begyndelsen af september faldt der dom i en sag, der nu viser sig at kunne få vidtrækkende konsekvenser for fortolkningen af begrebet personoplysninger. 

Sagen omhandlede spørgsmålet om GDPR's anvendelse på pseudonymiserede personoplysninger, dvs. personoplysninger, som inden overførsel til en tredjepart er blevet maskeret på en måde, så den, der har nøglen til datasættet, kan gendanne oplysningerne til klar tekst.  

Pseudonymisering er derfor ikke at forveksle med anonymisering, som i GDPR-sammenhæng kræver, at det er irreversibelt. 

I sagen havde SRB (Single Resolution Board, eller på dansk Den Fælles Afviklingsinstans, som er EU's centrale myndighed for afvikling af banker i bankunionen) sendt en udfyldt spørgeskemaundersøgelse til Deloitte for analyse af svarene.  

Besvarelserne var foretaget af enkeltpersoner, men før oversendelsen til Deloitte havde SRB pseudonymiseret svarene. Deloitte havde nemlig ikke behov for at kende persontilkoblingen for at levere deres tjeneste. SRB havde ikke meddelt respondenterne, at Deloitte senere ville modtage deres svar til analyse.  

Spørgsmålet i sagen handlede dermed om, hvorvidt det var en fejl, at oplysningspligten som anført i GDPR art. 13 ikke var fulgt af SRB. 

Spørgsmålet om betydningen af begrebet personoplysninger har langt større rækkevidde end oplysningspligten.  

Alle oplysninger, som ikke er personoplysninger, falder pr. definition uden for GDPR's anvendelsesområde. Det betyder, at der ikke skal føres fortegnelser, indgås databehandleraftaler eller tages hensyn til retten til sletning, indsigt og dataportabilitet. 

Tidligere har anvendelsen af reglerne været således, at så længe nogen (herunder den dataansvarlige selv) kunne tage et datasæt og finde enkeltpersoner, har dataene været at betragte som personoplysninger og er dermed faldet ind under GDPR.  

Men EU-dommen siger nu, at nogen skal erstattes af den modtagende part af det pågældende datasæt – og vurderingen skulle dermed i dette tilfælde foretages fra Deloittes synspunkt og ikke fra enhver tænkelig modtagers synspunkt: 

Hvis Deloitte rent faktisk ikke havde en rimelig chance for at re-identificere respondenterne, så ville datasættet ikke være personoplysninger, og forpligtelserne i GDPR ville ikke finde anvendelse. 

Dommen er et nybrud og en potentielt kæmpe regellettelse, hvis betingelserne respekteres og anvendes korrekt.  

Lempelsen har massiv politisk bevågenhed, fordi AI-agendaen og trykket på EU's innovative evner har gjort GDPR til syndebuk for bare snerten af en fremtid, hvor EU kan konkurrere med USA, Kina og Indien. 

Derudover er den helt igennem pragmatiske og logiske konsekvens af dommen, at virksomheder og myndigheder, der behandler personoplysninger, begynder at tage reelt ansvar for privatlivs- og beskyttelsesprincipper ved at tage fat i sig selv først, fremfor at "gennemtvinge" databehandleraftaler og sikkerhedskrav ned igennem en uendelig kæde af databehandlere og underdatabehandlere med lovgivningen i ryggen.  

Ægte compliance frem for pseudocompliance. Ansvar frem for kontrol. 

For leverandører af B2B-services vil det være oplagt at se på, om man kan levere sine services på baggrund af pseudonymiserede oplysninger.  

For dataansvarlige vil det være oplagt at se på, om man kan designe IT-løsninger, der kan lægge det påkrævede sikkerhedslag ind mellem den dataansvarlige og leverandørerne. 

Dommen har allerede givet en del ringe i vandet. Datatilsynet i Danmark har udtalt, at man som dataansvarlig ikke kan løfte behandlingen af personoplysninger hos databehandlere ud af databehandlerkonstruktionen.  

Men det helt grundlæggende spørgsmål i den forbindelse er, om der overhovedet skal være en databehandleraftale, hvis modtageren (leverandøren) ikke kan identificere datasubjekterne? 

Datatilsynet siger også, at en leverandørs viderebehandling af data tilhørende den dataansvarlige til leverandørens egne formål vil kræve et videregivelsesgrundlag, dvs. et behandlingsgrundlag, som dækker videregivelse.  

Men igen ‒ hvis data ikke er personoplysninger for modtageren, hvorfor skal der så være et behandlingsgrundlag?  

Den oprindelige hjemmel kan efter min vurdering altid rumme, at man sletter, anonymiserer og pseudonymiserer ‒ det kan aldrig blive uforeneligt med loven. Når man så er nået fx til en anonymisering, så stopper forpligtelserne. 
 
I øvrigt afskaffede man med GDPR den dobbelte hjemmel, der var tidligere, i form af behandlingshjemmel og videregivelseshjemmel. Så jeg mener ikke videregivelse som sådan skal problematiseres på anden vis, end hvad det oprindelige grundlag kan rumme.

Hvis data anonymiseres fuldt ud, så kan den dataansvarlige godt dele frit ud og sågar offentliggøre data.  

Det kan lade sig gøre, fordi anonyme oplysninger pr. definition ikke vedrører enkeltindivider og derfor ikke skal underlægges beskyttelsen af individers privatliv og ret til beskyttelse af oplysninger, herunder at der skal være et behandlingsgrundlag.  

Hvorfor skulle det samme ikke gælde for pseudonymiserede oplysninger, når SRB-dommen siger, at det er modtagerens evne til at re-identificere, der afgør, om noget er personhenførbart? 

Det er vores privatliv, det handler om ‒ ikke data i sig selv. 

For mig er det andet helt afgørende spørgsmål i stedet, hvad der skal til i forhold til den dataansvarliges vurdering af muligheden for re-identifikation hos tredjeparten? Tredjeparten er alt andet lige den nærmeste og bedste til at vurdere sin mulighed for re-identifikation. Det kan ikke være tilstrækkeligt, at den oprindeligt dataansvarlige er ene om at vurdere andres evne til re-identifikation. Det vil være gætværk. 

I stedet bør man efter min overbevisning erstatte databehandleraftalevilkår med garantier fra tredjepart, som vedrører deres manglende evne til at re-identificere personer.  

Der bør i regelsættets ånd også være en dokumentation eller selvstændig vurdering, evt. fra en uafhængig part (i visse sammenhænge), som har efterprøvet tredjepartens udsagn.  

En sådan løsning vil flytte ansvaret fra den dataansvarlige over på tredjeparten, men give den oprindeligt dataansvarlige ro på compliancebagsmækken. Tredjeparten vil i min optik få helt anderledes hovedbrud af aftalemæssige repressalier og forsikringsspørgsmål end af risikoen for håndhævelse fra EU (som virkelig halter på grund af det komplicerede samarbejdssystem og de få ressourcer til datatilsynsmyndigheder).  

Et afledt spørgsmål vil være, om man i løbende serviceaftaler (som databehandlerkonstruktionen ofte er udtryk for gennem fx SaaS, IaaS og PaaS) skal gentage re-identifikationsvurderingen, og hvor ofte man skal det? Og ja, hvem kan og skal man så stole på?  

Men det spørgsmål er der jo også allerede i dag. Bare se på Chromebook-sagen, hvor Google havde svært ved at udtale sig om sammenhængen mellem software og hardware.

Uanset de mange spørgsmål, dommen vil rejse, så er den et væsentligt og ganske tydeligt bidrag til fortolkningen af GDPR, som tager fat i de helt fundamentale modsætninger mellem privatliv og sikkerhed på den ene side og innovation og digitalisering på den anden side. 

Hvis EU skal tilbage på innovationssporet, skal reglerne gøre vilkårene bedre.  

GDPR skal ikke stå i vejen for en god idé eller global konkurrence på techsiden.  

Med dommen får GDPR en langt mindre rækkevidde, hvis vi ellers kan indrette arbejdsgangene rigtigt. Det er sådan set virkelig fornuftigt.  

Man skal også huske, at GDPR ikke forsvinder – og i stedet for at forsøge at kontrollere alle mulige globale tredjeparter og -lande, så kan EU-virksomheder og myndigheder koncentrere indsatsen om sig selv. Det vil stadig kræve en kæmpe indsats – den vil blot føles mere rigtig.