I en digital vardag där nästan varje aktivitet lämnar spår efter sig blir skyddet av personuppgifter allt viktigare. GDPR ställer höga krav på hur organisationer hanterar och skyddar personuppgifter. Ett av verktygen för att uppfylla dessa krav är pseudonymisering – en metod där identifierande uppgifter ersätts med alias och koder. Syftet är att minska risken för att uppgifterna används för att identifiera enskilda personer. Men vad innebär pseudonymisering i praktiken, och vad betyder EU-domstolens tolkning av begreppet i mål C-413/23 P för organisationer?
Vad är en personuppgift?
En personuppgift är all information som direkt eller indirekt kan kopplas till en identifierbar fysisk person. Definition är mycket bred, vilket gör att de flesta uppgifter som behandlas omfattas av GDPR:s regler. Exempel på personuppgifter är namn, adress och personnummer, men även uppgifter som instämplingstider och anställningsnummer kan räknas som personuppgifter.
Vad är pseudonymisering?
Pseudonymisering är en metod för att ytterligare skydda personuppgifter. Det innebär att uppgifter som namn eller personnummer ersätts med en pseudonym, kod eller alias. På så sätt kan informationen inte längre kopplas till en viss person utan hjälp av kompletterande information.
Definitionen av pseudonymisering i GDPR:
”Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.”
Den information som krävs för att återkoppla den pseudonymiserade informationen till en person kallas ofta för en ”nyckel”. Nyckeln ska lagras separat och skyddas genom lämpliga tekniska och organisatoriska säkerhetsåtgärder.
Eftersom pseudonymiserade uppgifter fortfarande kan kopplas till en identifierbar fysisk person med hjälp av kompletterande information, omfattas de fortfarande av GDPR. För att uppgifter inte längre ska omfattas av regelverket krävs att de är helt anonyma, det vill säga omöjliga – eller åtminstone mycket opraktiska – att koppla till en särskild person. Mer om denna tolkning nedan.
Är pseudonymiserade personuppgifter alltid personuppgifter?
Den frågan har EU-domstolen granskat i mål C-413/23 P. Det är en viktig bedömning eftersom GDPR endast är tillämplig om de uppgifter som behandlas utgör personuppgifter.
Målet som prövades i EU-domstolen gällde om pseudonymiserade uppgifter fortfarande ska betraktas som personuppgifter för tredje parter som tar emot uppgifterna utan att ha tillgång till den så kallade nyckeln.
Den 4 september 2025 meddelade EU-domstolen dom i målet Europeiska datatillsynsmannen (EDPS) v. Gemensamma resolutionsnämnden (SRB). Domen klargör hur begreppet personuppgift ska tolkas i situationer där en tredje part tar emot pseudonymiserade uppgifter utan möjlighet att identifiera de registrerade.
Bakgrunden var att EDPS ansåg att SRB brustit i sin informationsskyldighet genom att inte informera de registrerade om att pseudonymiserade uppgifter hade överförts till en tredje part. EDPS argumenterade att det faktum att en nyckel existerar någonstans innebär att alla pseudonymiserade uppgifter ska betraktas som personuppgifter – oavsett om mottagaren (tredje parten) själv kan identifiera individerna eller inte.
EU-domstolen gjorde dock en annan bedömning. De konstaterade att pseudonymisering, beroende på omständigheterna i det enskilda fallet, faktiskt kan hindra andra än den som innehar nyckeln från att identifiera den registrerade:
”Eftersom pseudonymisering, beroende på omständigheterna i det enskilda fallet, faktiskt kan hindra andra personer än den personuppgiftsansvarige från att identifiera den registrerade, så att de inte, eller inte längre, kan identifiera den registrerade.” (p. 86)
Det avgörande är alltså om det i praktiken är möjligt för mottagaren att identifiera en individ. Bedömningen ska göras i varje enskilt fall och utgå från mottagaren perspektiv vid den tidpunkt då personuppgifterna tas emot:
”[…] frågan huruvida den registrerade är identifierbar följaktligen bedömas vid tidpunkten för insamlingen av uppgifterna och utifrån den personuppgiftsansvariges perspektiv.” (p. 111)
Domen innebär att pseudonymiserade uppgifterna kan vara personuppgifter för den part som har nyckeln, men inte nödvändigtvis för en tredje part som saknar möjlighet att koppla uppgifterna till en specifik person. Det krävs alltså en konkret bedömning i varje situation – inte en generell utgångspunkt att alla pseudonymiserade uppgifter alltid är personuppgifter.
Även om domen rör förordning (2018/1725) – som gäller för EU-institutioner – är de relevanta bestämmelserna i princip identiska med dem i GDPR. Slutsatserna får därför direkt betydelse även för tillämpningen av GDPR.
Vad innebär detta för organisationer?
Domen klargör att pseudonymisering inte kan användas som ett sätt att undgå GDPR. Så länge ni har tillgång till nyckeln som kan koppla uppgifterna till en individ, är uppgifterna fortfarande personuppgifter – och ni måste därför uppfylla alla krav i GDPR.
För organisationer som tar emot pseudonymiserade uppgifter utan möjlighet att identifiera de registrerade, kan dessa däremot falla utanför GDPR:s tillämpningsområde. Avgörande är om det faktiskt är möjligt för er att identifiera enskilda personer utifrån de uppgifter ni hanterar.
Domen understryker också vikten av att göra en individuell och medveten bedömning av om data ni behandlar utgör personuppgifter eller inte. Den bedömningen ska utgå från er organisations faktiska möjlighet att identifiera individer – inte genom automatiska system eller generella antaganden. Om beslutet fattas slentrianmässigt eller automatiskt kan det bli svårt att försvara vid en eventuell granskning.
