European Data Protection Board (EDPB) godkände under sitt januarimöte 2025 riktlinjer om pseudonymisering av personuppgifter  och ett ställningstagande om samspelet mellan konkurrensrätt och dataskydd.

EDPB skriver i sitt pressmeddelande att GDPR introducerar termen ”pseudonymisering”.  EDPB beskriver psudonymisering som en skyddsåtgärd som kan vara lämplig och effektiv för att uppfylla EU:s dataskyddsregler. I EDPB:s nya riktlinjer klargörs definitionen och tillämpningen av pseudonymisering och pseudonymiserade personuppgifter. 

Riktlinjerna innehåller två viktiga juridiska klargöranden:

• Pseudonymiserade personuppgifter som kan knytas till en enskild person med hjälp av kompletterande information förblir information om en identifierbar fysisk person och betraktas därför fortfarande som personuppgifter. Om informationen kan kopplas till en individ av den personuppgiftsansvarige eller någon annan part, förblir den en personuppgift.

• Pseudonymisering kan minska riskerna för individen och öka en personuppgiftsansvarigs möjligheter att stödja sig på en intresseavvägning som rättslig grund (artikel 6.1 f i GDPR), förutsatt att alla övriga krav i GDPR är uppfyllda. Insamlade personuppgifter kan också i större utsträckning användas för nya ändamål (i enlighet med artikel 6.4 i GDPR).

Riktlinjerna beskriver också hur en organisation med hjälp av pseudonymisering kan fullgöra sina skyldigheter att tillämpa dataskyddsprinciperna (artikel 5 i GDPR), inbyggt dataskydd och dataskydd som standard (artikel 25 i GDPR) samt informationssäkerheten (artikel 32 i GDPR).

Den som är intresserad kan lämna ett remissvar på riktlinjerna fram till den 28 februari 2025.

Efter en dom från EU-domstolen har EDPB också kommit med ett utlåtande om samspelet mellan dataskydd och konkurrensrätten. I mål C252/21 (Meta mot Bundeskartellamt) från den 4 juli 2023, slog domstolen fast att dataskydds- och konkurrensmyndigheter i vissa fall måste samarbeta för att uppnå en effektiv och samordnad tillämpning av dataskydds- och konkurrenslagstiftningen. Även om det rör sig om separata rättsområden med olika mål inom olika ramar kan de i vissa fall vara tillämpliga på en och samma organisation. Därför anser EDPB att det är viktigt att man bedömer var lagarna överlappar. 

EDPB beskriver i sitt ställningstagande hur dessa regelverk samverkar. Dokumentet föreslår hur marknadsrättsliga och konkurrensrättsliga frågeställningar integreras i dataskyddsfrågor men också hur dataskyddsfrågor motsatsvis kan integreras i konkurrensrättsliga utredningar. Ställningstagandet innehåller också rekommendationer till tillsynsmyndigheter, exempelvis föreslås hur dataskyddsmyndigheter och konkurrensmyndigheter kan upprätta en gemensam kontaktpunkt för att samordna  tillsynsarbetet. 

EDPB:s riktlinjer om pseudonymisering av personuppgifter, 17 januari 2025

EDPB:s ställningstagande om samspelet mellan konkurrensrätt och dataskydd, 17 januari 2025

EU domstolens dom i mål C252/21 (Meta mot Bundeskartellamt), 4 juli 2023