Är en underskrift en personuppgift i dataskyddsförordningens (GDPR) mening? Denna fråga tas upp i EU-domstolens dom C‑200/23 (Agentsia po vpisvaniyata) som handlar om en bulgarisk myndighets vägran att radera vissa personuppgifter om en registrerad, däribland registrerades egenhändiga namnteckning i ett bolagsavtal som offentliggjorts i handelsregistret.
Frågan som diskuteras i domen är begränsad till en särskild typ av underskrift, en fysisk persons egenhändiga namnteckning. Den specifika frågan som tas upp är om en sådan namnteckning omfattas av begreppet personuppgift i den mening som avses i artikel 4.1 GDPR.
EU-domstolen inleder sitt resonemang med att påminna om definitionen av begreppet personuppgift i artikel 4.1 GDPR. Enligt denna bestämmelse är en personuppgift varje upplysning som avser en identifierad eller identifierbar fysisk person. För att en fysisk person ska vara identifierbar krävs enligt bestämmelsen att den direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. I samma bestämmelse anges även exempel på identifierare, däribland namn, identifikationsnummer och onlineidentifikatorer.
Efter denna inledande genomgång av definitionen av begreppet personuppgifter fortsätter EU-domstolen med att tolka nyckelbegrepp i artikel 4.1 GDPR. Domstolen börjar med att analysera begreppet ”varje upplysning” och konstaterar att dess användning i definitionen återspeglar lagstiftarens avsikt att ge begreppet personuppgift en vid innebörd. Således omfattar begreppet potentiellt alla typer av upplysningar, såväl objektiva som subjektiva, i form av åsikter eller bedömningar, under förutsättning att uppgifterna ”avser” den berörda personen. Domstolen hänvisar till liknande resonemang i domstolens tidigare praxis, se C‑487/21. Vidare konstaterar domstolen att en upplysning avser en identifierad eller identifierbar fysisk person när den på grund av sitt innehåll, syfte eller verkan är knuten till en identifierbar person, med hänvisning till C‑487/21.
Gällande bedömningen om en fysisk person är identifierbar påpekar EU-domstolen att hänsyn ska tas till alla hjälpmedel, som till exempel särskiljande, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen (jmf. skäl 26 GDPR).
Härnäst konstaterar EU-domstolen att den vida definitionen av begreppet ”personuppgifter” inte endast omfattar uppgifter som samlas in och lagras utan även varje upplysning som genereras i samband med en behandling av personuppgifter och som rör en identifierad eller identifierbar person, med hänvisning till C‑487/21. I samband med detta påpekar domstolen en handskriven text enligt domstolens tidigare praxis avslöjar information om den fysiska personen som författat texten (seC‑434/16).
Slutligen konstaterar EU-domstolen att en fysisk persons egenhändiga namnteckning generellt sett används för att identifiera denna person och för att tillerkänna handlingar som är försedda med denna namnteckning bevisvärde, vad gäller deras riktighet och uppriktighet, eller för att ta på sig ansvaret för dem.
Mot denna bakgrund kommer EU-domstolen fram till slutsatsen att en fysisk persons egenhändiga namnteckning omfattas av begreppet personuppgift i den meningen som avses i artikel 4.1 GDPR.