Pseudonymisering är en metod för behandling av personuppgifter som går ut på att bryta länken mellan uppgifterna och de personer som de avser. Metoden, som baseras på en mängd olika förfaranden, används i olika sammanhang, till exempel som skyddsåtgärd vid interna och externa delningar av personuppgifter, vid träning av AI-modeller eller vid tredjelandsöverföringar. Kärnan i samtliga förfaranden är att reducera informationsmängden i uppgifterna på ett sådant sätt att resultatet av processen, de pseudonymiserade uppgifterna, inte längre kan tillskrivas en specifik person utan användning av kompletterande uppgifter.
En viktig fråga är om pseudonymiserade uppgifter under alla omständigheter utgör personuppgifter i den mening som avses i dataskyddsförordningen (GDPR), eller om det kan finnas situationer där sådana uppgifter hamnar utanför gränserna för begreppet personuppgift och därmed även utanför GDPR:s tillämpningsområde.
Denna fråga togs upp i EU-domstolens dom i mål C-413/23 P, SRB mot EDPS, från den 4 september 2025. Målet handlade om SRB, en EU-myndighet, som hade lämnat ut pseudonymiserade personuppgifter till en redovisningsbyrå med uppdrag att använda dem för att ta fram beslutsunderlag i ett ärende. Utlämnandet ledde till ett klagomål från en registrerad, vilket föranledde en tillsyn av den europeiska datatillsynsmannen (European Data Protection Supervisor, EDPS).
SRB hävdade att de pseudonymiserade uppgifter som hade lämnats ut inte utgjorde personuppgifter, medan EDPS var av motsatt uppfattning. EDPS anförde bland annat att pseudonymiserade uppgifter alltid ska betraktas som personuppgifter, eftersom kompletterande uppgifter gör det möjligt att identifiera den registrerade, och att det därför inte krävs någon prövning i det enskilda fallet.
EU-domstolen konstaterade inledningsvis att förekomsten av kompletterande uppgifter i sig inte innebär att pseudonymiserade uppgifter under alla omständigheter och för alla personer ska anses utgöra personuppgifter. Vidare ansåg EU-domstolen att pseudonymisering kan påverka personuppgifters karaktär på ett sådant sätt att det kan förhindra att uppgifterna kan hänföras till den registrerade. Efter ett utförligt resonemang kom EU-domstolen fram till slutsatsen att pseudonymisering kan hindra andra personer än den personuppgiftsansvarige från att identifiera den registrerade. Enligt EU-domstolen ska pseudonymiserade uppgifter således inte anses utgöra personuppgifter under alla omständigheter och för alla personer.
Enligt EU-domstolen krävs i stället en prövning i det enskilda fallet. En förutsättning för att pseudonymiserade uppgifter inte ska anses utgöra personuppgifter hos en mottagare är, enligt domstolen, att mottagaren inte ska kunna frångå pseudonymiseringsåtgärderna. Vidare måste åtgärderna hindra mottagaren från att hänföra de pseudonymiserade uppgifterna till den registrerade genom användning av andra identifieringsmetoder, såsom jämförelse med andra uppgifter.
Enligt Sebastian Berg, jurist och fysiker på TechLaw, förtydligar domstolens slutsatser att det finns en viss överlappning mellan begreppen pseudonymisering och anonymisering som används inom dataskyddsområdet. ”Domen förtydligar att pseudonymisering under vissa förutsättningar kan ha samma effekt som anonymisering. I sådana fall kan man se detta som en pseudonymisering med anonymiserande verkan.”
”Domen innebär ökade möjligheter att dela pseudonymiserade uppgifter i särskilda situationer där de hamnar utanför GDPR:s tillämpningsområde”, säger Sebastian Berg. ”Samtidigt leder domen till ökad osäkerhet, eftersom den klargör att en prövning måste göras i det enskilda fallet och att tröskeln för att uppnå en pseudonymisering med anonymiserande verkan är tämligen hög.”