Vad avses med anonymiserade personuppgifter?
Anonymiserade personuppgifter har behandlas på så sätt att personen inte längre kan identifieras utifrån dessa. Detta kan göras genom att uppgifterna t.ex. generaliseras eller ändras till statistisk form så att uppgifter om en enskild person inte längre är i identifierbar form. Identifieringen av personerna har förhindras på oåterkalleligt sätt. Den personuppgiftsansvarige eller en utomstående aktör kan inte längre ändra tillbaka uppgifter som den innehar till identifierbar form. Anonymiserade uppgifter ses inte som personuppgifter och därmed gäller inte GDPR i förhållande till dessa.
Vad avses med pseudonymiserade personuppgifter?
Pseudonymisering är en behandling av personuppgifter varvid personuppgifterna inte längre kan kopplas till en viss person utan kompletterande uppgifter. Den kompletterande informationen ska förvaras omsorgsfullt åtskild från de pseudonymiserade personuppgifterna. Det är viktigt att komma ihåg att pseudonymiserade uppgifter fortfarande är personuppgifter. Därmed ska dataskyddsbestämmelserna i GDPR fortfarande tillämpas vid behandling av pseudonymiserade uppgifter.
En bedömning måste göras i varje enskilt fall
En bedömning måste göras från fall till fall för att avgöra huruvida en uppgift till slut kan ses som anonym eller inte. En person kan identifieras utifrån andra omständigheter än namnet. Avlägsnas enbart namnen från personer i ett register så innebär alltså inte detta nödvändigtvis att uppgifterna i registret har ändrats till anonyma uppgifter. Innehåller registret annan detaljerad information, t.ex. om en sällsynt sjukdom, kan en person identifieras indirekt. Frågan som man måste ställa sig vid bedömningen är alltså huruvida det är möjligt att identifiera personerna indirekt. Är det fortfarande möjligt att urskilja en enskild person från mängden handlar det om en pseudonymiserad, inte anonymiserad, uppgift.
Lag24 Trainee
26.08.2021
Få snabbt och enkelt hjälp med din juridiska fråga.