Utgangspunktet for vurderingene i SRB-dommen kommer fra den såkalte Breyer-dommen (C‑582/14). Den forstås ofte som at den slår fast at dynamiske IP-adresser alltid skal anses som personopplysninger. Denne tolkningen har fått store konsekvenser for svært mange europeiske bedrifter. Spørsmålet i saken var om dynamiske IP-adresser, samlet inn av en nettsidetilbyder fra nettsidens besøkende, var å anse som personopplysninger. Det var enighet mellom partene om at nettsidetilbyderen ikke selv hadde informasjon som kunne brukes til å knytte IP-adressene til individer, og at internettilbydere (ISP-er) hadde informasjon som kunne brukes til slik identifisering.
Etter en konkret vurdering kom domstolen til at IP-adresser var informasjon om en «identifiable natural person», fordi nettsidetilbyderen hadde «the means which may likely reasonably be used in order to identify the data subject, with the assistance of other persons, namely the competent authority and the internet service provider, on the basis of the IP addresses stored» (vår understrekning).
«Means» var i dette tilfelle en hjemmel i tysk lovgivning som åpnet for at politiet vil kunne kreve informasjon utlevert fra en ISP som kunne brukes til å knytte den dynamiske IP-adressen til et individ. Den aktuelle hjemmelen kunne benyttes dersom nettsiden ble utsatt for cyberangrep (med formålet at angriperne skulle identifiseres og etterforskes). Domstolen skrev følgende:
Although the referring court states in its order for reference that German law does not allow the internet service provider to transmit directly to the online media services provider the additional data necessary for the identification of the data subject, it seems however, subject to verifications to be made in that regard by the referring court that, in particular, in the event of cyber attacks legal channels exist so that the online media services provider is able to contact the competent authority, so that the latter can take the steps necessary to obtain that information from the internet service provider and to bring criminal proceedings.
Thus, it appears that the online media services provider has the means which may likely reasonably be used in order to identify the data subject, with the assistance of other persons, namely the competent authority and the internet service provider, on the basis of the IP addresses stored.
Kravet om «likely reasonable» ble altså ansett oppfylt for cyberangrep, og det var tilstrekkelig at det var politiet (en tredjepart) som lovlig kunne gjøre reidentifiseringen. Det er fremdeles uklart hva som ville vært utfallet dersom man vurderer hendelser som skjer mer sjelden enn cyberangrep.
Om SRB-dommen
SRB-dommen ble avsagt den 26. april 2023. Saken startet ved at EDPS (European Data Protection Supervisor) mottok klager fra enkelte registrerte på at SRB hadde samlet inn opplysninger fra individer i forbindelse med konkursen til en spansk finansinstitusjon. Etter at SRB samlet inn opplysningene, pseudonymiserte de identiteten til individene som hadde sendt inn informasjonen. Opplysningene ble så knyttet til en alfanumerisk tekststreng som representerte individet, og det var kun SRB som satt på «nøkkelen» for å knytte opplysningene til faktiske personer. SRB sendte deretter opplysningene og de alfanumeriske tekststrengene til Deloitte, som skulle arbeide videre med dem. SRBs personvernerklæring opplyste ikke om at personopplysningene kunne bli videresendt (til Deloitte) og dette ble det klaget på.
SRB argumenterte med at dette ikke var personopplysninger, og at det derfor ikke forelå krav om å informere om overføringen. EDPS mente at SRB hadde brutt reglene i GDPR. SRB klagde inn EDPS' avgjørelse for EU-domstolen, og spørsmålet i saken var om EDPS' avgjørelse skulle oppheves. General Court, underinstansen i EU-systemet, besvarte dette bekreftende. I dommen ble det samme juridiske vurderingstemaet som i Breyer-saken satt på spissen, men det var ganske ulike faktiske forhold som skulle behandles. I avsnitt 97 skriver domstolen at:
[i]n order to determine whether the information transmitted to Deloitte constituted personal data, it is necessary to put oneself in Deloitte’s position in order to determine whether the information transmitted to it relates to 'identifiable persons'.
Domstolen kom til at dette var noe som EDPS ikke hadde gjort. EDPS hadde kun vurdert om det, objektivt sett, eksisterte informasjon som gjorde at personene kunne re-identifiseres – og det var ingen tvil om at SRB besatt slik informasjon. Domstolen mente imidlertid denne vurderingen var for enkel og konkluderte i avsnitt 105 med følgende:
Therefore, since the EDPS did not investigate whether Deloitte had legal means available to it which could in practice enable it to access the additional information necessary to re-identify the authors of the comments, the EDPS could not conclude that the information transmitted to Deloitte constituted information relating to an ‘identifiable natural person’ within the meaning of Article 3(1) of Regulation 2018/1725.
Et viktig aspekt av denne avgjørelsen er nettopp det at domstolen ikke konkluderte med at informasjonen ikke var personopplysninger – den konkluderte kun med at EDPS ikke hadde vurdert Deloitte sine faktiske muligheter til å re-identifisere individene.
Etter vår oppfatning har domstolen anlagt samme rettslige vurderingstema og samme terskel som i Breyer-dommen, og har bare slått fast at EDPS ikke har forholdt seg til hva Breyer-dommen egentlig ga uttrykk for. Det er uansett grunn til å opptre varsomt og ikke trekke for mange materielle slutninger fra SRB-dommen per i dag. Etterspillet kan imidlertid bli svært interessant. EDPS må enten vurdere saken på nytt eller anke saken til Court of Justice.
Konsekvenser: Hvordan vurderer man om pseudonymiserte personopplysninger omfattes av GDPR
Spørsmålet om en organisasjon besitter «the means which may likely be used» for å reidentifisere opplysninger, vil avhenge av en rekke juridiske, tekniske og forretningsmessige forhold. Grensedragningene vil være krevende.
Det vil være avgjørende om man på en lovlig måte har mulighet til å reidentifisere opplysningene. For loggdata som IP-adresser, kan nok selve Breyer-dommen ofte føre til at så er tilfelle. IP-adresser vil jo være særlig aktuelt for å oppklare cyberangrep, og da er man nettopp i en situasjon der politiet kan foreta reidentifikasjon. For andre opplysninger, eksempelvis opplysninger over for eksempel kjøpshistorikk i en nettbutikk, samlet i databaser, kan det nok være et større handlingsrom.
Disse grensedragningene vil være praktisk viktige for svært mange. For eksempel vil nok en praksis som medfører at pseudonymiserte opplysninger i større grad kan holdes utenfor personvernreglene, ønskes velkommen av alle de brukere av skytjenester som til nå bare har ansett pseudonymisering som et teknisk tiltak for ytterligere sikring av personopplysninger – slik det er forutsatt i EDPBs egen veileder om overføring av personopplysninger til tredjeland.
Ankefristen til General Court sin avgjørelse går ut 26. juni – og vi følger situasjonen nøye.