Tech Blog
Tech Blog | september 15, 2025

EU-domstolen om personuppgiftsbegreppet (EDPS v SRB (C-413/23 P))

Den 4 september 2025 meddelade EU-domstolen sin dom i målet EDPS v SRB (C-413/23 P), som ersätter tribunalens tidigare dom från den 26 april 2023. I målet klargör EU-domstolen frågan om pseudonymiserad data kan anses vara personuppgifter och kommer fram till att det beror på omständigheter i det enskilda fallet. Exempelvis om en tredje part, till vilken data överförs, skulle kunna identifiera den registrerade.

Bakgrunden är ett överklagande från Europeiska datatillsynsmannen (EDPS) mot tribunalens dom från år 2023, som ogiltigförklarade ett beslut antaget av EDPS. I detta beslut hade EDPS funnit att den gemensamma resolutionsnämnden (SRB) överträtt förordning (EU) 2018/1725 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter, genom att inte informera registrerade om att deras pseudonymiserade uppgifter delats till en tredje part.

EU-domstolens dom klargör att pseudonymiserad data inte alltid kan anses vara personuppgifter. Domstolen instämmer med tribunalens mening och avslår EDPS talan om att pseudonymiserad data är personuppgifter även i fall då mottagaren inte kan koppla datan till en individ. EU-domstolen menar att pseudonymisering kan, beroende på omständigheterna i det enskilda fallet, förebygga att andra än den personuppgiftsansvarige kan identifiera individer. För dessa andra aktörer, blir dessa individer inte alls eller inte längre identifierbara.

EU-domstolen gör vissa tydliga avsteg från tribunalens dom från 2023. För det första anser EU-domstolen inte att EDPS borde ha undersökt datan som översändes till tredje part, eftersom det var känt vad för typ av data det gällde. Nämligen registrerades kommentarer och åsikter. EU-domstolen anser heller inte att EDPS borde ha undersökt om datan i fråga utgjorde personuppgifter ur mottagarens synvinkel. Dels eftersom det framgår av praxis att identifierbarhet ska bedömas utifrån omständigheterna i varje enskilt fall, dels eftersom den personuppgiftsansvariges skyldighet att informera registrerade om överföring eller oavsett om mottagaren mottagit personuppgifter eller inte.

EU-domstolen instämmer dock i tribunalens bedömning att pseudonymiserade uppgifter inte alltid eller för alla personer ska anses utgöra personuppgifter.

EU-domstolens dom visar även att en bedömning behöver göras i varje enskilt fall, för att avgöra om registrerade är identifierbara för en tredje part. Själva bedömningen av vad som är ”identifierbart” ska bedömas utifrån den personuppgiftsansvariges perspektiv vid tillfället för insamling av personuppgifter.

 

Denna artikel är skriven av Associate Filippa Eggefalk.

Föregående inlägg

Nästa inlägg

Relaterat innehåll