Kunskap om GDPR

Pseudonymisering av personuppgifter

Pseudonymisering av personuppgifter är en extra skyddsåtgärd som kan vara lämplig för företag att genomföra, enligt artikel 32 i GDPR. Syftet med pseudonymisering är att minska risken för identifiering av enskilda individer. Det är exempelvis bra att genomföra pseudonymisering av personuppgifter innan informationen delas till en konsult som inte behöver direkt åtkomst till personuppgifterna i sig för att kunna utföra sitt konsultuppdrag. Tänk på att pseudonymiserade uppgifter inte är samma sak som anonyma uppgifter. 

Vad innebär pseudonymisering av personuppgifter enligt GDPR?

Definitionen av pseudonymisering framgår i artikel 4(5) i GDPR. Kort sagt innebär pseudonymisering av personuppgifter att man ersätter en direkt identifierande personuppgift med en indirekt identifieringsuppgift, så att personuppgifterna inte längre kan knytas till en specifik individ, utan användning av kompletterande information. Till exempel kan ett namn bytas ut till ett alias eller en kod. 

Dock är det viktigt att säkerställa att den kompletterande informationen hålls separat från den pseudonymiserade uppgiften. Exempelvis kan den ytterligare informationen finnas i ett kundregister eller en tabell som anger att koden tillhör en viss individ. Dessutom måste sådan kompletterande information vara skyddad genom lämpliga organisatoriska och tekniska säkerhetsåtgärder.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

2 andra EU-förordningar

  • AI-förordningen
  • Data-förordningen
theme_placeholder

Exempel på en pseudonymiserad uppgift

En person har ett busskort som har en unik kod, för att möjliggöra spärrning av kortet om det förloras. Koden i sig är inte tillräcklig för att identifiera vilken individ kortet tillhör, men kortutgivaren har ett separat register där de kan se vem som kortet tillhör genom koden. Vid sådana fall utgör koden en personuppgift som är pseudonymiserad.

Vad är skillnaden mellan anonyma uppgifter och pseudonymiserade personuppgifter?

När personuppgifter har blivit anonymiserade, är det inte längre personuppgifter utan anonyma uppgifter. Vid sådana fall är de anonyma uppgifterna inte längre omfattade av GDPR. Det kan vara bra att anonymisera personuppgifter istället för att pseudonymisera dem, om ett företag vill spara vissa av uppgifterna. Exempelvis för att se vad kunderna gillar med företagets produkter eller tjänster, eller för att kunna anpassa företagets marknadsföring efter målgruppen. 

Pseudonymisering av personuppgifter är en reversibel process, vilket innebär att det går att återställa en pseudonymiserad uppgift till de ursprungliga personuppgifterna med hjälp av den kompletterande informationen. 

Subjective and objective personal data

Personal data may have a subjective or objective nature. Generally, subjective personal data is more privacy sensitive than many types of objective personal data, and therefore companies need to process subjective personal data with higher security. 

  • Examples of objective personal data are name, social security number, e-mail address and home address. It is usually information that directly identify a person. 
  • Examples of subjective personal data are a diagnosis from a doctor and school grades. It is usually something that describes a person or a characteristic of the person. 

När kan pseudonymiserade personuppgifter vara lämpligt att använda?

När den rättslig grunden för behandlingen av personuppgifterna är berättigat intresse

Om ett företag behandlar personuppgifter med stöd i den rättsliga grunden berättigat intresse enligt artikel 6(1)(f) i GDPR, kan det vara bra att genomföra pseudonymisering av personuppgifter. Observera att företaget behöver utföra och dokumentera en intresseavvägning (LIA) för att se om företaget verkligen har ett berättigat intresse, innan behandlingen av personuppgifterna blir utförd med stöd av denna rättsliga grund.

It may be possible for data subjects to claim damages

Vid behandling av integritetskänsliga eller känsliga personuppgifter

Säkerhetskraven för behandlingen är högre, när det avser integritetskänsliga eller känsliga personuppgifter. Därför kan det vara lämpligt att behandla pseudonymiserade uppgifter, som en extra skyddsåtgärd.

Order the company to comply with GDPR within a certain period of time

Om de registrerade är barn

Barn har ett starkare skydd enligt GDPR än vuxna människor, och därför måste företag vara extra försiktiga när de behandlar personuppgifter som tillhör barn. Det kan vara lämpligt att vidta extra tekniska säkerhetsåtgärder för att skydda personuppgifterna. Ett exempel på en teknisk säkerhetsåtgärd som kan vara lämplig att använda, är pseudonymisering av personuppgifter.

Statistiska ändamål

Pseudonymisering av personuppgifter är fördelaktigt när det sker i samband med behandling av personuppgifter för statistisk ändamål. Detta beror på att det via pseudonymiserade uppgifter är möjligt att göra analyser och dra slutsatser om data, samtidigt som det kan ske utan risk att identifiera individer. Pseudonymisering av uppgifter är enligt artikel 89 i GDPR en lämplig teknisk skyddsåtgärd som bör vidtas vid behandling av personuppgifter inom bland annat statistik och forskning, för att minimera riskerna vid behandlingen.

An administrative fine

Forskningsändamål

Det är enbart tillåtet att behandla personuppgifter för forskningsändamål, om det inte är möjligt att göra det med anonyma personuppgifter. Dessutom är det vanligt att vidta extra skyddsåtgärder, såsom pseudonymisering, om det är nödvändigt att behandla personuppgifterna. Enligt artikel 89 i GDPR är pseudonymisering av personuppgifter ett exempel på en lämplig skyddsåtgärd. Det är nämligen viktigt att se till att särskilt principen om uppgiftsminimering iakttas.

Smeknamn kan vara personuppgifter

Om man använder smeknamn i behandlingen istället för det riktiga namnet på en individ, kan det fortfarande anses vara en personuppgift. Detta gäller om det går att koppla uppgiften till en specifik person. 

Ifall en arbetsgivare exempelvis har en digital lista med notering av medarbetarnas meriter och arbetsprestationer, men det står ett smeknamn som de andra anställda förstår eller kan avläsa genom informationen, utgör smeknamnet en personuppgift.

Mer information om Personuppgifter

Bilder och filmer kan vara personuppgifter

Bilder och filmer som innehåller identifierbara levande individer kan vara personuppgifter. Detsamma gäller ljudinspelningar. Därför är det viktigt att säkerställa att fotografering och filminspelning av individer sker i enlighet med GDPR, eftersom det utgör en behandling av personuppgifter. Detta innebär bland annat att företag behöver säkerställa en laglig grund innan företaget publicerar bilder eller filmer på sin personal på sin webbplats eller i sociala medier. 

Vill du lära dig mer?

Klicka här
Rulla till toppen