Datatilsynet fastslår: Databehandleraftaler er fortsat nødvendige ved pseudonymiserede data
Written By
Partner
Danmark
Jeg er partner og leder af vores kompetente og dedikerede danske persondatateam, som rådgiver om databeskyttelsesret og e-privacy.
Senior Associate
Danmark
Jeg er senioradvokat I vores danske persondatataretsteam, hvor jeg rådgiver om databeskyttelsesret og e-privacy.
EU-Domstolens nylige afgørelse om pseudonymiserede data har skabt debat om kravene til databehandleraftaler. Nu har Datatilsynet taget stilling og konklusionen er klar: Databehandleraftaler er stadig påkrævet, selvom databehandleren ikke selv kan identificere de registrerede.
Baggrund: SRB-dommen
Den 4. september 2025 afsagde EU-domstolen dom i sag C-413/23 P (”SRB-dommen”). Sagen omhandlede EU-institutionen ’Den Fælles Afviklingsinstans’ (Single Resolution Board, ”SRB”), som havde videregivet pseudonymiseret datasæt til Deloitte i forbindelse med afvikling af en spansk bank. Det centrale var, at Deloitte kunne ikke identificere, hvem personerne i datasættet var.
Spørgsmålet for EU-domstolen var, om SRB skulle have oplyst de registrerede om videregivelsen, selvom Deloitte ikke kunne identificere de enkelte personer.[1]
EU-domstolen fastslog b.la., at:
Når modtagere af pseudonymiserede personoplysninger ikke med rimelige midler kan identificere de registrerede, udgør oplysningerne alene ”information” – og ikke personoplysninger i GDPR’s forstand – for modtagerne
Dataansvarlige, der videregiver personoplysninger til modtagere, der ikke med rimelige midler kan identificere de registrerede i de modtagne oplysninger, skal dog oplyse om videregivelsen til de registrerede
Datatilsynets præcisering
SRB-dommen tog ikke stilling til, om man som dataansvarlig er forpligtet til at indgå en databehandleraftale, hvis en databehandler behandler pseudonymiserede personoplysninger på vegne af den dataansvarlige, hvor databehandleren ikke selv med rimelige midler kan identificere de pågældende personer.
Dette spørgsmål har Datatilsynet nu besvaret i kølvandet på SRB-dommen, og svaret er entydigt: Der skal fortsat indgås databehandleraftaler, selvom databehandleren ikke selv med rimelige midler kan identificere de registrerede.
Datatilsynets begrundelse
Datatilsynet bygger sin udtalelse på to centrale argumenter:
Vurderingen om, hvorvidt databehandleren behandler personoplysninger eller blot ”information”, skal foretages fra den dataansvarliges perspektiv, som har nøglen til (re)identifikation
Fordi databehandleren behandler personoplysninger på den dataansvarliges vegne efter instruks, er oplysningerne personoplysninger uanset databehandlerens egen mulighed for (re)identifikation
Hvad betyder dette for din organisation
Datatilsynet har væsentlig praktisk betydning for dig, der arbejder med pseudonymiserede data:
Pseudonymisering fritager ikke fra kravet om at indgå databehandleraftaler
Det afgørende er den dataansvarliges perspektiv og ikke databehandlerens mulighed for identifikation
Organisationer skal fortsat sikre, at der foreligger gyldige databehandleraftaler, når eksterne parter behandler data på deres vegne
Kontakt os for specialiseret rådgivning
Vores team af databeskyttelsesspecialister kan hjælpe dig med at navigere inden for databeskyttelsesretten og sikre, at din organisation er på forkant med de nyeste tendenser og regulatoriske udviklinger.
Kontakt os i dag for en indledende drøftelse.
[1] EU-institutioners behandling af personoplysninger er reguleret af forordning 2018/1725 og ikke GDPR. Begrebet ”personoplysning” i forordning 2018/1725 skal dog fortolkes på samme måde som i GDPR.
