Så påverkar EU-domstolens besked din hantering av pseudonymiserad data

Nya GDPR-riktlinjer för pseudonymisering – detta gäller nu

Många företag upplever det som utmanande att avgöra vad som är personuppgifter och inte – särskilt när det gäller pseudonymiserad data. EU-domstolens avgörande EDPS v. SRB från 4 september 2025 ger nu tydligare riktlinjer som kan förändra hur du arbetar med data.

Det nya avgörandet klargör en viktig princip: det som är personuppgifter för dig kanske inte är det för den du skickar dem till. Detta öppnar upp för fler sätt att använda pseudonymiserade personuppgifter eftersom fler dataset nu faller utanför GDPRs tillämpningsområde.

Tre viktiga principer att ha koll på

1. Olika perspektiv på samma data: Det som utgör personuppgifter för dig som avsändare behöver inte vara personuppgifter för mottagaren. Bedömningen beror på vilken information respektive part har tillgång till.

2. Friare användning under vissa förutsättningar: Mottagare av pseudonymiserad data kan i vissa fall använda uppgifterna utan begränsning av GDPR – förutsatt att de inte har tillgång till information som möjliggör återidentifiering.

3. Tillgång till ytterligare data avgör: Om en mottagare av pseudonymiserad data har tillgång till ytterligare data som kan användas för återidentifiering, gäller GDPR för både avsändare och mottagare.

Affärsnyttan: Vad betyder det i praktiken?

Detta avgörande får särskilt stor betydelse inom AI-träning och digital marknadsföring, där pseudonymiserad data ofta används. För företag inom AI, life science, media och tech innebär detta potentiellt fler och friare sätt att använda data, samt möjliga administrativa lättnader.

Vi på Lindahl biträder regelbundet klienter som tränar olika AI-modeller och som inför användning av data behöver beakta ett stort antal regelverk – från upphovsrättslagen och GDPR till Data Act och AI Act. EU-domstolens avgörande sätter nu tydligare ramar för användning av pseudonymiserad data, vilket skapar nya affärsmöjligheter.

Vad bör du göra?

Även om inga omedelbara åtgärder krävs, är det värt att se över dina nuvarande dataflöden och bedöma om det nya avgörandet skapar nya möjligheter för din verksamhet. Kom ihåg att bedömningen alltid måste göras utifrån vilken information mottagaren faktiskt har tillgång till.

Har du frågor om hur det nya avgörandet påverkar din verksamhet? Kontakta någon av våra experter för en diskussion om dina specifika förutsättningar.