Den 19 november 2025 presenterade EU-kommissionen ett förslag på omfattande ändringar i dataskyddsförordningen (GDPR), den så kallade digitala omnibus-förordningen. Denna artikel analyserar en av de föreslagna ändringarna som rör definitionen av begreppet personuppgift.
Begreppet personuppgifter definieras i artikel 4.1 GDPR. Den nuvarande ordalydelsen av bestämmelsen är följande:
Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Enligt EU-kommissionens förslag ska artikel 4.1 GDPR kompletteras med följande tillägg (icke officiell översättning från engelska):
Information som rör en fysisk person är inte nödvändigtvis personuppgifter för alla andra personer eller enheter, bara för att en annan enhet kan identifiera den fysiska personen. Information ska inte vara personlig för en viss enhet om den enheten inte kan identifiera den fysiska person som informationen rör, med beaktande av de medel som rimligen kan antas användas av den enheten. Sådan information blir inte personlig för den enheten bara för att en potentiell efterföljande mottagare har medel som rimligen kan antas användas för att identifiera den fysiska person som informationen rör.
Enligt EU-kommissionen är syftet med tillägget att förtydliga EU-domstolens rättspraxis avseende begreppet pseudonymisering, särskilt med hänsyn till målet C-413/23 P (SRB mot EDPS). I en preliminär bedömning anser Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) emellertid att tillägget går längre än EU-domstolens rättspraxis.
Objektivt betraktad introducerar tillägget en avgränsning av begreppet personuppgift som gäller i den specifika situationen att en enhet ”inte kan identifiera den fysiska personen som informationen rör”. Effekten av avgränsningen är att omfattningen av begreppets tillämpningsområde minskas och, som följd av detta, även GDPR:s tillämpningsområde, då den är kopplad till behandling av personuppgifter. Tillägget har således undantagskaraktär.
I tillägget introducerar EU-kommissionen en rad faktorer som ska avgöra om en uppgift ska klassas som en personuppgift eller inte, som exempelvis ”de medel som rimligen kan antas användas” av en enhet för att identifiera en person. Det är oklart hur dessa faktorer ska tolkas, särskilt då de inte är fullt ut likriktade med GDPR:s nuvarande ordalydelse och EU-domstolens rättspraxis. Till exempel ska det enligt skäl 26 GDPR beaktas ”alla hjälpmedel” som ”rimligen kan komma att användas av den personuppgiftsansvarige eller av en annan person” för att avgöra om en uppgift är en personuppgift. Detta är en betydande skillnad mot formuleringen som används i EU-kommissionens tillägg.
För organisationer som behandlar personuppgifter och andra uppgifter som potentiellt kan vara personuppgifter innebär tillägget ett nytt lager av komplexitet och därmed en ökad osäkerhet. Det är inte bara fråga om en uppgift utgör en personuppgift utan även om GDPR gäller för behandlingen av (person)uppgiften. Om tillägget implementeras i sin nuvarande form förväntas detta leda till ett ökat utredningsbehov.