För investerare
Gå till MyFondia

Pseudonymisering och GDPR: När måste du informera de registrerade?

Nellie Berntsson
Nellie Berntsson
Insikter
20 oktober 2025

Företag som delar personuppgifter tror ofta att pseudonymisering frigör dem från informationsskyldigheten. Men EU-domstolens senaste dom visar att det inte är så enkelt. I denna artikel förklarar vi vad som gäller när pseudonymiserade uppgifter delas med tredje part – och vad du behöver göra för att följa GDPR. 

Vad domen handlar om

EU-domstolen har nyligen slagit fast hur pseudonymiserade personuppgifter ska hanteras vid delning med andra mottagare. Frågan var enkel men viktig:

Måste organisationer informera de registrerade när deras personuppgifter, även i pseudonymiserad form, delas med tredje part?

I det aktuella fallet hade bolaget inte upplyst de registrerade om att deras pseudonymiserade uppgifter delades vidare. Domen visar tydligt att pseudonymisering inte tar bort informationsskyldigheten om uppgifterna fortfarande kan kopplas till en individ.

Vad domen innebär

Domen klargör två viktiga principer:

  • Bedömning vid insamlingstillfället

  • GDPR kräver att du bedömer om uppgifterna är personuppgifter vid insamlingen, inte först vid delningen.

Om uppgifterna kan kopplas till en individ är det alltid personuppgifter, även om de senare pseudonymiseras.

Perspektivet som räknas

  • Bedömningen görs ur personuppgiftsansvariges perspektiv, inte mottagarens.

  • Även om mottagaren inte kan identifiera individen, påverkar det inte din skyldighet att informera.

Integritetsskyddsmyndigheten (IMY) och andra dataskyddsmyndigheter i EU har fått frågor från organisationer och företag kring vad domen i SRB-målet innebär.

Inom Europeiska dataskyddsstyrelsen (EDPB) pågår redan ett arbete med att ta fram riktlinjer om pseudonymisering och anonymisering.

Med anledning av domen kommer EDPB att anordna ett intressentmöte (stakeholder event), för att samla in synpunkter kring konsekvenserna av domen på frågor om pseudonymisering och anonymisering. Mötet är tänkt att hållas i slutet av 2025.

Informationsskyldighet vid pseudonymisering

Pseudonymisering är ett viktigt verktyg för att skydda personuppgifter, men den påverkar inte skyldigheten att informera.

Tänk på att:

  • Ange mottagare i integritetsmeddelandet. Detta kan vara specifika företag eller kategorier av mottagare (t.ex. analysbolag, leverantörer inom finanssektorn).

  • Ge tydlig information om vilken behandling som sker, även för pseudonymiserade uppgifter.

  • Gör informationen lätt att förstå, gärna med korta meningar och punktlistor.

Exempel: Om ni delar kunddata med en analysleverantör efter pseudonymisering, måste kunderna informeras om att deras uppgifter kan komma att delas, även om leverantören inte kan se deras identitet.

Praktisk checklista – innan och under delning av personuppgifter

Innan insamling av personuppgifter:

  • Identifiera alla mottagare som uppgifterna kan komma att delas med.

  • Ange specifika mottagare i integritetsmeddelandet – namn eller så specifik kategori som möjligt.

  • Lämna information om behandlingen innan uppgifterna samlas in.

Innan delning med tredje part:

  • Kontrollera att mottagaren finns angiven i integritetsmeddelandet.

  • Kom ihåg att informationsskyldigheten gäller även pseudonymiserade uppgifter.

  • Säkerställ att informationen är tydlig och lättläst.

Notera skillnaden mellan pseudonymisering och anonymisering – pseudonymisering innebär fortfarande att uppgifter räknas som personuppgifter om identifiering är möjlig.

Vill du veta mer?

Vill du säkerställa att ditt företag följer GDPR när personuppgifter delas – även i pseudonymiserad form? Kontakta oss på Fondia för rådgivning.

GDPR
Dataskydd

Hur kan vi hjälpa dig?

Vi vill gärna höra mer om era legala behov. Kontakta oss via mail, telefon eller boka ett kostnadsfritt möte redan idag!