Syftet med denna uppsats är att analysera anonymiseringsbegreppet i GDPR. Närmare bestämt diskuteras vad anonymisering innebär, när anonymisering är tillåten och hur anonymisering kan åstadkommas.

Det har länge diskuterats huruvida anonymiseringsbegreppet i GDPR är absolut eller relativt. En absolut tolkning innebär att det inte får finnas någon risk över huvud taget för återidentifiering och att bedömningen av om uppgifter är anonyma görs objektivt. En relativ tolkning innebär däremot att en viss risk för återidentifiering är tillåten och att bedömningen görs subjektivt. Anonymiseringsbegreppet har ännu inte varit föremål för prövning i EU-domstolen och det saknas riktlinjer från EDPB. Det kan därmed konstateras att viss rättsosäkerhet råder. Det finns emellertid rättspraxis från EU-domstolen som ger stöd för att personuppgiftsbegreppet är relativt. Eftersom anonymiseringsbegreppet speglar personuppgiftsbegreppet är slutsatsen i uppsatsen att även anonymiseringsbegreppet bör anses vara relativt.

Anonymisering utgör en behandling av personuppgifter och kräver som sådan laglig grund för behandling. Att tillämpa intresseavvägning som laglig grund bör i de flesta fall vara tillåtet eftersom anonymisering innebär ett starkt skydd för de fysiska personer som personuppgifterna avser.

I uppsatsen diskuteras vilka anonymiseringsmetoder som kan uppfylla kraven i GDPR. Vid en absolut tolkning av anonymiseringsbegreppet behöver så kraftiga anonymiserings-metoder användas att de uppgifter som kvarstår efter anonymiseringen i princip blir oanvändbara för alla sorters statistik- och forskningsändamål. Vid en relativ tolkning av anonymiseringsbegreppet tillåts en viss risk för återidentifiering, men den tillåtna risken i GDPR är relativt låg. Det ställs därför även vid en relativ tolkning höga krav på de anonymiseringsmetoder som används, särskilt om de avidentifierade uppgifterna delas med allmänheten. I uppsatsen föreslås ett förfarande där anonymiserade uppgifter endast delas med en begränsad grupp personer under kontrollerade förhållanden, vilket skulle kunna minska risken för återidentifiering till en nivå som är kompatibel med GDPR. Vidare konstateras det att det är svårt att säga exakt vart gränsen för anonymisering går, samt att gränsen mellan pseudonymisering och anonymisering är oklar och att begreppen i vissa fall överlappar varandra.

The purpose of this essay is to analyse the concept of anonymisation in the GDPR. More specifically, it discusses what anonymisation means, when anonymisation is allowed and how anonymisation can be achieved.

It has long been debated whether the concept of anonymisation in the GDPR is absolute or relative. An absolute interpretation means that there must be no risk of re-identification at all and that the assessment of whether data is anonymous is made objectively. A relative interpretation, on the other hand, means that some risk of re-identification is allowed and that the assessment is made subjectively. The concept of anonymisation has not yet been examined by the CJEU and there are no guidelines from the EDPB. It can therefore be concluded that there is some legal uncertainty. However, case law from the CJEU supports the relative interpretation of the concept of personal data. Since anonymisation reflects personal data, the conclusion of this essay is that the concept of anonymisation should also be considered relative.

Anonymisation constitutes processing of personal data and as such requires a lawful basis for processing. Justifying the processing on grounds of legitimate interest should be allowed in most cases as anonymisation provides strong protection for the natural persons to whom the personal data relates.

The essay discusses which anonymisation methods can meet the requirements of the GDPR. If an absolute interpretation is applied, such strong anonymisation methods need to be used that the data remaining after anonymisation becomes virtually unusable for any kind of statistical or research purposes. A relative interpretation allows for a certain risk of re-identification, but the permitted risk in the GDPR is relatively low. Therefore, even in a relative interpretation, there are high requirements for the anonymisation methods used, especially if the de-identified data are shared with the public. The paper proposes a procedure whereby anonymised data are only shared with a limited group of people under controlled conditions, which could reduce the risk of re-identification to a level compatible with the GDPR. It is further noted that it is difficult to say exactly where the boundary of anonymisation lies, and that the boundary between pseudonymisation and anonymisation is unclear and in some cases the concepts overlap.