Samtycke för att anonymisera eller pseudonymisera personuppgifter?

Enligt GDPR kan en säkerhetsåtgärd vara att anonymisera eller pesudonymisera personuppgifter. En återkommande fråga vad gäller det här ämnet är om det krävs ett samtycke för att anonymisera eller pseudonymisera personuppgifter.

Anonymisering eller pseudonymisering av personuppgifter innebär någon form av avidentifiering. ”Bearbetning eller ändring” ingår i begreppet ”behandling” i GDPR, vilket kommer vara oundvikligt vid avidentifiering av personuppgifter.

Frågan kvarstår: behövs ett samtycke för att behandla personuppgifter genom avidentifiering? GDPR kräver bland annat en laglig grund för att behandla personuppgifter där ett av alternativen är att inhämta ett samtycke. För att få samla in personuppgifter behövs en laglig grund. Men behövs ytterligare en laglig grund för bearbetning eller ändring av personuppgifterna?

Svaret på frågan är nej – det krävs inte ett samtycke för att anonymisera eller pseudonymisera personuppgifter.

Artikel 29-gruppen har uttalat att avidentifiering av personuppgifter där det finns en laglig grund vid insamlandet, är helt i linje med GDPR. Det ska inte krävas en extra laglig grund för att avidentifiera personuppgifter eftersom syftet är att skydda den personliga integriteten, och för att det skulle avskräcka användningen av dessa säkerhetsåtgärder. En avidentifiering hjälper till att minska risken för de registrerades fri- och rättigheter – vilket är grundbulten i GDPR.

 


Vi guidar dig genom djungeln

GDPR påverkar företag och organisationer på många olika plan. Ibland kan det vara svårt att bena ut vad som faktiskt gäller. Vår ambition är att göra det svåra så enkelt det bara gå. Och det var precis därför som vi utvecklade verktyget Qnister GDPR – en molntjänst som steg för steg skapar struktur i GDPR-arbetet utan att du ska behöva vara jurist för att förstå vad som ska göras.

Läs mer och se en demo av vårt verktyg HÄR.