Skip to content

Timo Lagerbjelke

Teknik, juridik & innovation

Menu
  • Mina tankar
  • Arkiv
  • Regelverk att känna till.
    • Data Act
    • DORA (Digital Operational Resilience Act)
    • CLOUD Act
    • GDPR
    • EU 2021/821 (Dual-use)
    • NIS2
    • CRA (Cyber Resilience Act)
    • AI-act
  • Om
Menu

När slutar pseudonymiserade uppgifter vara personuppgifter?

Posted on April 5, 2026April 5, 2026 by Timo Lagerbjelke

Det är en fråga som länge ansetts besvarad. Pseudonymiserade uppgifter är personuppgifter, punkt. Den som behandlar dem måste följa GDPR, oavsett hur väl namnen är dolda eller hur avlägsna möjligheterna till återidentifiering ter sig. Så har doktrinen sett ut, så har tillsynsmyndigheterna resonerat, och så har de flesta organisationer förhållit sig i praktiken.

EU-domstolen konkretiserade i september förra året att svaret kräver mer analys än så.

Domen i EDPS mot SRB

Bakgrunden är händelserna kring Banco Popular Español, en spansk bank som upplöstes 2017. Den europeiska resolutionsnämnden (SRB) inbjöd aktieägare och borgenärer att lämna synpunkter på resolutionsbeslutet. Synpunkterna pseudonymiserades (namnen ersattes med slumpmässiga koder) innan de vidarebefordrades till ett konsultföretag som anlitats för att värdera resolutionens konsekvenser. Den europeiska datatillsynsmannen (EDPS) menade att vidarebefordran utgjorde en överföring av personuppgifter och att de registrerade borde ha informerats.

EU-domstolen meddelade dom i mål C-413/23 P den 4 september 2025. Domstolen bekräftar och konkretiserar det identifierbarhetstest som redan följer av skäl 26 i GDPR: för att avgöra om data utgör personuppgifter ska man beakta alla medel som rimligen kan komma att användas för att identifiera den registrerade, och den bedömningen ska göras utifrån mottagarens faktiska förutsättningar, inte enbart den ursprunglige personuppgiftsansvarigas.

Om de tekniska och organisatoriska åtgärderna är tillräckliga för att återidentifiering inte är rimligen sannolik för den aktuella mottagaren, är uppgifterna inte personuppgifter för den mottagarens del. Det är inte en ny princip i ordets strikta mening, men domstolens tillämpning av den är tydligare och mer mottagarcentrerad än vad som tidigare var praxis.

Vad testet innebär i praktiken

Domstolen lyfter fram ett antal faktorer som ska vägas: tillgång till kompletterande uppgifter, tekniska möjligheter, legala och avtalsmässiga hinder mot att kombinera datamängder samt de faktiska kostnader och den tidsåtgång återidentifiering skulle kräva. Det är samma faktorer som skäl 26 pekar ut, men domen ger dem ett konkret sammanhang.

Det räcker alltså inte att konstatera att det teoretiskt sett vore möjligt att återidentifiera någon. Bedömningen ska vara realistisk och ta sin utgångspunkt i mottagarens faktiska situation. Domen ger inga generella undantag och skapar ingen “safe harbor” för pseudonymiserade uppgifter. Varje situation kräver en konkret analys.

Det är värt att understryka vad domen inte säger. Den ursprungliga personuppgiftsansvarige (den som genomförde pseudonymiseringen och behåller kopplingsnyckeln) omfattas alltjämt fullt ut av GDPR. Transparensförpliktelserna kvarstår hos den part som faktiskt kan återidentifiera. Domen minskar inte skyddet för registrerade i förhållande till dem som ursprungligen behandlade uppgifterna. Den förtydligar i stället hur identifierbarhetsbedömningen ska göras för mottagaren.

En spänning i rättsläget

Domen har inte passerat obemärkt. Enligt IMY har frågor om vad SRB-domen innebär tagit sig in hos dem och andra europeiska dataskyddsmyndigheter, och frågan diskuterades inom EDPB under hösten 2025. EDPB har riktlinjer om pseudonymisering under framtagande, och dessa anlägger generellt en mer försiktig syn: pseudonymiserade uppgifter som kan kopplas tillbaka till en registrerad är personuppgifter, och tröskeln för identifierbarhet bör sättas högt.

Spänningen förstärktes ytterligare i februari i år. Enligt EDPB:s egna pressmeddelanden antog EDPB och EDPS i februari 2026 ett gemensamt yttrande om Europeiska kommissionens förslag till Digital Omnibus, ett lagstiftningspaket med syfte att förenkla och samordna EU:s digitala regelverk. Paketet innehöll bland annat förslag som rör definitionen av personuppgifter och när pseudonymiserade uppgifter inte längre ska anses vara personuppgifter, samt förslag om att ge kommissionen befogenhet att i genomförandeakter precisera detta. EDPB och EDPS tog kraftigt avstånd från den delen av förslaget. De varnade för att det riskerar att gå längre än vad CJEU faktiskt fastslog och att det kan urholka begreppet personuppgifter på ett sätt som inte är proportionerligt mot förenklingssyftet. Kommissionen bör inte ges befogenhet att genom genomförandeakter avgöra vad som faller utanför dataskyddslagens tillämpningsområde, argumenterade de.

Rättsläget är med andra ord genuint öppet. Det finns en domstol som tydliggjort en kontextberoende och mottagarcentrerad bedömning. Det finns ett tillsynsorgan som värnar en striktare tillämpning. Och det finns en pågående lagstiftningsprocess där dessa perspektiv kolliderar.

Vad det innebär för organisationer

Den praktiska konsekvensen är inte att organisationer nu fritt kan pseudonymisera uppgifter och betrakta GDPR som avklarad. Tvärtom ställer domen högre krav på analys.

Den som delar pseudonymiserade uppgifter med en extern part måste göra en saklig bedömning av om mottagaren rimligen kan återidentifiera de registrerade. Det räcker inte med att konstatera att data är pseudonymiserad. Hur ser kopplingsnyckeln ut? Vem kontrollerar den? Har mottagaren tillgång till andra datamängder som möjliggör matchning? Vilka tekniska och organisatoriska åtgärder säkerställer att återidentifiering faktiskt förhindras?

Dokumentation av dessa bedömningar blir centralt. Eftersom SRB-domen förtydligar ett kontextuellt test måste organisationer kunna motivera varför pseudonymiseringen i det aktuella fallet är tillräcklig för att uppgifterna inte ska vara personuppgifter för mottagaren. En avtalsmässig klausul om att mottagaren inte får försöka återidentifiera ger ett visst skydd men är inte tillräcklig i sig. Det krävs tekniska åtgärder som faktiskt försvårar eller omöjliggör återidentifiering.

Detta är inte bara en fråga för advokater och dataskyddsombud. Systemarkitekter, produktägare och de som köper in datatjänster behöver förstå att juridiken nu hänger tydligare på tekniska designval. Vilken information skickas till en underleverantör? Med vilken granularitet? Finns det andra datakällor hos mottagaren som kan kombineras? Frågorna är tekniska till sin natur men har direkta rättsliga konsekvenser.

Framåt

Enligt EDPB:s arbetsplan för 2026–2027 är riktlinjer om pseudonymisering och anonymisering en uttalad prioritet. Utfallet av Digital Omnibus-processen kommer att ha avgörande betydelse för om den mottagarcentrerade synen kodifieras i förordningstexten eller stannar som en domstolsskapad princip. Det är en fråga som rör grundvalarna för hur GDPR tillämpas, inte en teknikalitet.

Organisationer gör klokt i att följa den processen noga, och redan nu se över hur deras pseudonymiseringslösningar faktiskt är konstruerade, inte bara hur de benämns i interna policydokument.

Böcker

  • Att Konkurrera i AI-Åldern: Mina tankar om en aktuell bok

    Att Konkurrera i AI-Åldern: Mina tankar om en aktuell bok

  • En recension av “The Big Picture” by Sean Carroll

    En recension av “The Big Picture” by Sean Carroll

  • “The Hard Thing About Hard Things” av Ben Horowitz

    “The Hard Thing About Hard Things” av Ben Horowitz

  • “Zero to One” av Peter Thiel och Blake Masters

    “Zero to One” av Peter Thiel och Blake Masters

Vad är…

  • Innovationsrådgivarens roll?

    Innovationsrådgivarens roll?

  • Fullstack-utvecklarens roll?

    Fullstack-utvecklarens roll?

  • IT-paralegals roll?

    IT-paralegals roll?

© 2026 Timo Lagerbjelke | Powered by Minimalist Blog WordPress Theme