I forlængelse af Datatilsynets nyhed den 4. september 2025, Ny afgørelse fra EU-Domstolen om pseudonymiserede personoplysninger, vil tilsynet i nærværende nyhed tilføje:
Det er Datatilsynets opfattelse, at der i en databehandlerkonstruktion – behandlingsmæssigt – vil være identifikation mellem den dataansvarlige og databehandleren. Forstået på den måde, at databehandleren alene kan behandle personoplysninger i overensstemmelse med den afgivne instruks, eller hvis behandlingerne er pålagt databehandleren efter national ret eller gældende EU-ret.
EU-Domstolen udtaler, at der ved vurderingen af, om noget skal betragtes som en personoplysning, skal tages udgangspunkt i behandlingens kontekst. EU-Domstolen har nærmere bestemt præciseret, at det relevante perspektiv for vurderingen af, om den registrerede er identificerbar, afhænger af de omstændigheder, der kendetegner behandlingen af oplysningerne i det konkrete tilfælde.
I en databehandlerkonstruktion vil personoplysninger, som er pseudonymiseret af den dataansvarlige, efter Datatilsynets opfattelse blive ved med at være personoplysninger, så længe oplysningerne behandles på den dataansvarliges vegne og efter dennes instruks, idet den dataansvarlige har nøglen, som fører retur til den registrerede. Perspektivet i databehandlerkonstruktion er, at enhver behandling udelukkende kan ske, fordi den dataansvarlige bestemmer det og som sådan har råderet over alle formål og midler, der skal benyttes. Databehandleren kan ikke – udenfor instruksen – behandle disse oplysninger, og vurderingen skal derfor foretages fra den dataansvarliges perspektiv. Databehandlerens lovlige, tekniske eller kontraktuelle mulighed for at (re-)identificere de registrerede, er i dette scenarie ikke relevant for vurderingen af, om der er tale om personoplysninger, allerede fordi denne ikke må behandle det, der er personoplysninger – for den dataansvarlige – udover instruksen.
Hvis en databehandler ønsker at behandle personoplysninger, der er pseudonymiseret af den dataansvarlige, til egne formål – og dermed udover det, instruksen tilsiger – følger det af konteksten (databehandlerkonstruktionen), at oplysningerne stadig er personoplysninger for den oprindelige dataansvarlige. Derfor skal den oprindelige dataansvarlige have hjemmel til at videregive personoplysningerne til databehandleren – den nye dataansvarlige – til dennes egne formål, uanset om oplysningerne i den nye behandlingskontekst efter omstændighederne vil kunne falde udenfor definitionen af, hvad der er en personoplysning.
Vil du vide mere?
Læs Datatilsynets tidligere nyhed her.
Læs hele dommen på engelsk her og på dansk her.