EDPB:s 2025 Verkställighetsåtgärd
Den Europeiska dataskyddsstyrelsens 2025 Samordnade verkställighetsram (CEF) riktade sig mot GDPR Artikel 17 — rätten till radering. Trettio två dataskyddsmyndigheter över EU och EES undersökte samtidigt hur organisationer svarar på begärningar om radering. Den samordnade ansatsen var utformad för att identifiera systematiska brister snarare än individuella avvikande fall.
Resultaten identifierade sju återkommande efterlevnadsutmaningar bland de undersökta organisationerna:
- Dåligt dokumenterade interna procedurer för hantering av raderingsbegärningar
- Överdriven avvisning av legitima begärningar (använder tillåtna undantag för brett)
- Oskäliga bördor som läggs på individer när de lämnar in raderingsbegärningar
- Oförmåga att lokalisera all personlig data över system när man hanterar en raderingsbegäran
- Överdrivna förseningar i hanteringen av begärningar utöver GDPR:s 30-dagars svarstid
- Otillräcklig kommunikation till registrerade om resultatet av deras begärningar
- Ineffektiva anonymiseringstekniker som används som ett alternativ till radering — specifikt flaggat som organisationer som använder tekniskt defekt "anonymisering" som lämnar data re-identifierbar
Nio dataskyddsmyndigheter inledde formella utredningar baserat på CEF-resultaten. Den sjunde återkommande utmaningen — ineffektiv anonymisering — är direkt relevant för organisationer som använder anonymisering som sin primära strategi för dataminimering.
Anonymisering som alternativ till radering
GDPR:s rätt till radering kräver inte radering i alla fall. Betraktelse 65 noterar att radering kan uppnås genom anonymisering där radering inte är tekniskt genomförbar (till exempel i säkerhetskopior eller integrerade analysystem där radering av individuella poster skulle kräva systemåteruppbyggnad).
EDPB:s CEF-resultat indikerar att detta alternativ missbrukas: organisationer hävdar "anonymisering" för datatransformation som lämnar data tekniskt re-identifierbar — använder ordet för att undvika den operativa bördan av faktisk radering snarare än för att uppnå det dataskyddsresultat som anonymisering ska ge.
Den distinktion som EDPB gör: verklig anonymisering — där länken mellan data och individen inte kan återställas med några medel tillgängliga för datakontrollanten eller någon tredje part — tar bort data från GDPR:s tillämpningsområde och tillfredsställer raderingsbegäran. Pseudonymisering — där re-identifikation är möjlig med rätt nyckel — tillfredsställer inte raderingsbegäran; den registrerades personuppgifter finns fortfarande och måste raderas eller så måste nyckeln förstöras.
Praktisk efterlevnadsstrategi
För organisationer som använder anonymisering som ett alternativ till radering i analysystem:
Den korrekta arkitekturen separerar datainmatning (råa personuppgifter) från dataanalys (anonymiserade derivat). Personuppgifter i inmatningslagret är föremål för raderingsbegärningar — när en registrerad utövar Artikel 17-rättigheter raderas personuppgifterna i inmatningslagret. De anonymiserade derivaten i analyslagret — om anonymiseringen var omfattande och oåterkallelig — behöver inte modifieras eftersom de inte längre är personuppgifter.
Denna arkitektur kräver att anonymiseringen vid gränsen mellan inmatning och analys är tekniskt solid: oåterkallelig (inte tokenisering), omfattande (alla identifierarkategorier adresserade), och dokumenterad (organisationen kan visa för en dataskyddsmyndighet att anonymiseringsmetoden uppfyller EDPB:s standarder). Det detaljhandelsföretag som anonymiserar kundernas köphistorik innan analysbearbetning, genom att ersätta namn och kontaktuppgifter med tokens under reversibel kryptering, har pseudonymiserat (inte anonymiserat) datan — analysdatasetet innehåller fortfarande personuppgifter som är föremål för raderingsbegärningar.
Källor: