EU-dom EDPS v. SRB

Den 4 september 2025 meddelade EU-domstolen dom i målet EDPS v. SRB (C-413/23 P) och upphävde därmed tribunalens dom från den 26 april 2023. Domen klargör hur begreppet personuppgifter och kraven på transparens ska bedömas vid överföring av pseudonymiserade uppgifter. Pseuonymisering är en säkerhetsåtgärd som innebär att data inte direkt identifierar en person, utan att identifiering endast kan göras med hjälp av en kod/kodnyckel

Målet rörde Single Resolution Board (SRB), som efter resolutionen av Banco Popular Español samlade in synpunkter från berörda aktieägare och fordringsägare och överförde vissa av dessa, i pseudonymiserad form, till Deloitte för analys. Flera berörda klagade till Europeiska datatillsynsmannen med hänvisning till att SRB inte hade informerat om överföringen.

EU-domstolen slog fast att pseudonymiserade uppgifter inte nödvändigtvis är personuppgifter för alla mottagare, som saknar åtkomst till kodnyckeln. Bedömningen av identifierbarhet ska göras kontextuellt och med beaktande av om mottagaren, genom medel som rimligen kan komma att användas, har möjlighet att identifiera de registrerade.

Samtidigt klargjordes att den personuppgiftsansvariges transparensskyldighet gentemot de registrerade ska bedömas ur den personuppgiftsansvariges perspektiv vid tidpunkten för insamlingen. Det innebär att den personuppgiftsansvariges informationsskyldighet avseende överföringen kan finnas oberoende av om uppgifterna i ett senare skede pseudonymiseras för mottagaren.

I linje med avgörandet föreslås i Digital Omnibus ett förtydligande av definitionen av personuppgifter i GDPR, samt införandet av en ny artikel 41a GDPR, enligt vilken Europeiska dataskyddsstyrelsen (EDPB) ska ta fram riktlinjer om bland annat kriterier och metoder för att bedöma när pseudonymiserade uppgifter inte längre ska anses utgöra personuppgifter.