Vi hanterar bara anonymiserade personuppgifter, då kan vi väl bortse från GDPR?

Bara om informationen verkligen är anonym. GDPR gäller inte anonym information. Men att anonymisera personuppgifter är en personuppgiftsbehandling som GDPR ska tillämpas på.

Det innebär bland annat de berörda personerna har rätt till information om anonymiseringsprocessen. Om anonymiseringsprocessen sannolikt kan medföra en hög risk för fysiska personers rättigheter och friheter, så måste även en konsekvensbedömning göras.

Enskildas rätt till information

Konsekvensbedömning

Vad menar vi med anonym information och anonymisering?

I GDPR definieras inte begreppet anonym information. Med anonyma uppgifter menar vi personuppgifter som har gjorts anonyma på ett sådant sätt så att den registrerade inte längre kan identifieras. Behandling av personuppgifter som resulterar i anonym information kallar vi för anonymisering.

GDPR är tekniskt neutral och säger inget om hur anonymisering ska uppnås.

Blanda inte ihop anonymisering med pseudonymisering

Pseudonymisering är inte en metod för anonymisering utan en säkerhetsåtgärd som innebär att personuppgifterna istället ersätts med något annat, tex en kod, och att det krävs kompletterande uppgifter för att det ska vara möjligt att hänföra uppgiften till en specifik person.

Pseudonymiserade uppgifter är personuppgifter, även om risken för att identifiera en person minskar, för möjligheten till identifiering finns fortfarande kvar. Vid behandling av pseudonymiserade uppgifter är GDPR fortfarande tillämplig, till skillnad från när ni behandlar anonymiserade uppgifter. Även processen som en pseudonymisering utgör, är en behandling av personuppgifter som GDPR är tillämplig på.

Arbete med EU-vägledning pågår

Den Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) arbetar med en vägledning om anonymiserings- och pseudonymiseringstekniker som när den är färdig kommer finnas att ta del av tillsammans med andra vägledningar.

EU-riktlinjer