Många företag vill kunna behålla information för att kunna föra statistik, vilket ofta kräver att informationen sparas under en lång tid. Genom att pseudonymisera eller anonymisera personuppgifter skapar man en säkrare behandling, som till och med kan falla utanför GDPR:s tillämpningsområde. Det ställs dock höga krav för att en personuppgift ska anses vara anonymiserad. Vi har i ett tidigare blogginlägg nämnt att anonymisering är ett viktigt GDPR-begrepp. I det här blogginlägget går vi djupare in på vad anonymisering och pseudonymisering innebär.

Olika typer av data

Till att börja med kan vi konstatera att det finns olika typer av data enligt GDPR, som behandlas på lite olika sätt. Det finns tre olika karaktärer av data enligt GDPR:

1. Personuppgifter

2. Pseudonymiserade uppgifter

3. Anonymiserade uppgifter

Personuppgifter är upplysningar som avser en identifierad eller identifierbar fysisk person, och omfattas i sin helhet av GDPR:s krav. Det är uppgifter som hjälper er att identifiera en person.

Pseudonymiserade uppgifter är information som enbart kan kopplas till en identifierbar fysisk person med hjälp av kompletterande uppgifter.

Anonymiserade uppgifter är uppgifter som inte längre kan identifiera en fysisk person och omfattas därav inte av GDPR. Dessa uppgifter kan sparas av exempelvis forskningsskäl eller i syfte att föra statistik.

Pseudonymisering

Pseudonymisering definieras i artikel 4 i GDPR:

”Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.”

Dessa uppgifter är som sagt fortfarande möjliga att koppla till en identifierbar fysisk person med hjälp av kompletterande information, och på grund av det omfattas uppgifterna fortfarande av GDPR. Pseudonymisering är en typ av säkerhetsåtgärd för att minska möjligheten att koppla olika uppgifter till fysiska personer. Denna säkerhetsåtgärd uppmuntras starkt, och anses vara ett sätt att säkerställa säkerhet vid behandlingen av personuppgifter enligt artikel 32. Däremot syftar pseudonymisering inte till att utesluta att andra åtgärder för dataskydd vidtas (se skäl 28 i GDPR).

Anonymisering

Anonymisering består av två delar:

1. Den är oåterkallelig.

2. Den har gjorts på ett sätt att det är omöjligt (eller extremt opraktiskt) att identifiera den fysiska personen.

Exempelvis räcker det inte att ta bort namnet på en fysisk person i ett CRM-system där det förekommer andra personuppgifter om individen, för det möjliggör en identifiering av personen utifrån de övriga personuppgifterna. För att anonymiseringen ska vara korrekt utförd ska det i princip vara omöjligt att identifiera personen. För att avgöra om det är möjligt att identifiera en person med hjälp av andra tillgängliga uppgifter ska man se om det är rimligt att personen identifieras direkt eller indirekt genom dessa uppgifter. Vad som anses vara rimligt beror på kostnader och tidsåtgång för identifiering, tillgänglig teknik vid tidpunkten av behandlingen och den tekniska utvecklingen. Den tidigare Artikel 29-gruppen har skrivit en vägledning med fler tekniska detaljer gällande hur anonymiseringen kan gå till, som utgår från dåvarande dataskyddsdirektivet.

Taxa 4×35 riskerar att få betala 1.2 miljoner danska kronor i sanktionsavgift

För inte så länge sedan beslutade den danska tillsynsmyndigheten att anmäla taxibolaget Taxa 4×35 (Taxa) till den danska polisen och rekommenderade en administrativ sanktionsavgift på 1.2 miljoner danska kronor på grund av överträdelse av GDPR. Den danska tillsynsmyndigheten ansåg att Taxa underlåtit att radera eller anonymisera personuppgifter. Bolaget, som tillhandahåller en applikation där användaren beställer taxi för resor i Köpenhamn, samlar in uppgifter om kundens namn, telefonnummer, resedatum, starttid och sluttid, längden på resesträckan, betalningsuppgifter, adress och GPS-koordinater.

Taxa behöll personuppgifterna i två år, och därefter genomförde de en ”anonymisering” av uppgifterna genom att ta bort kundens namn. Efter ytterligare fem år raderades resterande uppgifter. Anledningen till att taxa behöll uppgifterna var för att kunna utveckla applikationen.

Den danska tillsynsmyndigheten upptäckte att Taxa hade lagrat uppgifter om närmare 9 miljoner resenärer i fem år. Bolaget ansågs inte ha genomfört en anonymisering av personuppgifterna efter två år, eftersom att det fortfarande gick att identifiera personerna med hjälp av adresser och telefonnummer. Dessutom ansåg myndigheten att behandlingen av personuppgifterna inte uppfyllde syftet eftersom att telefonnumren inte behövdes för att företaget skulle ha möjligheten att analysera data om kunders körvanor och på så sätt utveckla appen.

Bra att veta! I de allra flesta europeiska länder kan den nationella dataskyddsmyndigheten själva utfärda administrativa sanktionsavgifter, men reglerna skiljer sig åt i vissa länder, exempelvis Estland och Danmark. Där fungerar det så att tillsynsmyndigheten utvärderar och bedömmer situationen, och anser de att någon agerat i strid mot GDPR polisanmäler de den personuppgiftsansvarige. Polisen undersöker sedan om det finns grund för att ta ut en sanktionsavgift, och slutligen kommer en eventuell sanktionsavgift att dömas ut av en domstol.

Kontakt

Har ni frågor och funderingar avseende pseudonymisering eller anonymisering av personuppgifter är ni varmt välkomna att höra av er antingen på mejlen support@gdprhero.se eller via telefon 046 – 273 17 17.

Nicole Chen

support@gdprhero.se

046-2731717

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.

 

Share This