TSUE doprecyzował pojęcie pseudonimizacji

15 godzin temu
  • Trybunał wyrokiem z 4.9.2025 r., C-413/23 P, Legalis, potwierdził, iż opinie i poglądy jednostki stanowią dane osobowe jako wyraz jej indywidualnego sposobu myślenia.
  • Pseudonimizacja nie zawsze usuwa charakter danych osobowych – jej skuteczność zależy od kontekstu i dostępności dodatkowych informacji.
  • Obowiązek informacyjny administratora ocenia się w relacji z osobą, której dane dotyczą i na etapie ich zbierania, niezależnie od dalszego przekazywania danych podmiotom trzecim.

Tło sprawy – restrukturyzacja Banco Popular Español i rola Deloitte

Sprawa, w której zapadł komentowany wyrok, dotyczyła głośnej restrukturyzacji hiszpańskiego banku Banco Popular Español, przeprowadzonej w czerwcu 2017 r. na podstawie unijnych przepisów o restrukturyzacji i uporządkowanej likwidacji banków. W związku z pogarszającą się sytuacją finansową banku, Single Resolution Board (dalej: SRB) – centralny organ odpowiedzialny za zarządzanie procesami restrukturyzacyjnymi w strefie euro – przyjął decyzję o przejęciu instytucji i jej sprzedaży.

W ramach tego procesu SRB opracował także wstępną decyzję dotyczącą ewentualnej kompensacji dla byłych akcjonariuszy i wierzycieli Banco Popular. Decyzja ta zapadła bez uprzedniego wysłuchania zainteresowanych stron, co zostało później skorygowane przez organizację specjalnej procedury konsultacyjnej. Akcjonariusze i wierzyciele mogli w jej ramach zgłaszać swoje komentarze i uwagi do działań SRB oraz do treści wstępnej decyzji.

Aby móc ocenić skutki restrukturyzacji i jej wpływ na sytuację poszczególnych grup interesariuszy, SRB powierzył Deloitte zadanie przygotowania szczegółowej wyceny. W tym celu część komentarzy złożonych przez akcjonariuszy i wierzycieli została przekazana Deloitte. Przekazanie odbyło się w formie pseudonimizowanej – dane zostały pozbawione bezpośrednich identyfikatorów, ale SRB wciąż dysponował kluczem pozwalającym na ich ponowne powiązanie z konkretnymi osobami.

To właśnie to przekazanie danych stało się źródłem sporu. Wielu uczestników procedury konsultacyjnej złożyło skargi do Europejskiego Inspektora Ochrony Danych (dalej: EDPS), zarzucając, iż SRB nie poinformowała ich o planowanym przekazaniu ich danych Deloitte.

Postępowanie przed EDPS i Sądem UE

EDPS uznał racje skarżących i stwierdził, iż SRB naruszyła przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z 23.10.2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE z 21.11.2018 r. (Dz.Urz. UE L 2018 Nr 295, s. 39; dalej: Rozporządzenie 2018/1725), które stanowi odpowiednik rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016 Nr 119, s. 1; dalej: RODO), ale stosowany do instytucji i organów UE. Inspektor wskazał, iż Deloitte należy traktować jako odbiorcę danych osobowych akcjonariuszy i wierzycieli, a zatem SRB powinna była dopełnić obowiązku informacyjnego wobec osób, których dane dotyczą.

SRB nie zgodziła się z tym stanowiskiem i wniosła skargę do Sądu UE, kwestionując interpretację EDPS. Sąd przyznał SRB częściowo rację i uchylił decyzję EDPS. W szczególności uznał, iż ocena, czy przekazane komentarze stanowią dane osobowe, wymaga analizy ich treści, celu i skutków, a także iż istotne jest, czy Deloitte mogło na ich podstawie zidentyfikować autorów.

EDPS odwołał się od tego rozstrzygnięcia, kierując sprawę do Trybunału Sprawiedliwości UE.

Rozstrzygnięcie TSUE – opinie jako dane osobowe

W swoim wyroku TSUE zakwestionował stanowisko Sądu UE w kilku kluczowych punktach.

Po pierwsze, Trybunał stwierdził, iż Sąd UE błędnie wymagał od EDPS badania treści, celu i skutków komentarzy, aby ustalić, czy stanowią one dane osobowe. Zdaniem TSUE wystarczyło stwierdzić, iż komentarze wyrażały osobiste opinie i poglądy autorów.

Trybunał podkreślił, iż osobiste opinie są wyrazem sposobu myślenia jednostki, a zatem z samej natury rzeczy pozostają z nią nierozerwalnie powiązane. Nie ma więc potrzeby prowadzenia dodatkowej analizy, by wykazać ich związek z konkretną osobą.

Pseudonimizacja – skuteczność zależna od kontekstu

Po drugie, Trybunał zgodził się z Sądem UE co do tego, iż pseudonimizacja nie oznacza automatycznie, iż dane zawsze muszą być traktowane jako dane osobowe wobec każdego podmiotu i w każdej sytuacji.

TSUE wskazał, iż ocena, czy dane pseudonimizowane są danymi osobowymi, zależy od konkretnego kontekstu przetwarzania. Należy ustalić, czy podmiot dysponujący danymi ma rzeczywistą możliwość zidentyfikowania osoby, której dane dotyczą.

Przykładowo:

  • dla SRB, które posiadało klucz umożliwiający ponowne powiązanie danych z osobami, dane pozostawały danymi osobowymi,
  • dla Deloitte, które nie miało dostępu do takich dodatkowych informacji, dane mogły już nie być traktowane jako dane osobowe.

Trybunał przypomniał także swoje wcześniejsze orzecznictwo, w tym wyrok TSUE z 19.10.2016 r., Breyer, C-582/14, Legalis, gdzie uznano, iż możliwość identyfikacji musi być oceniana z punktu widzenia dostępnych środków i realnych możliwości, a nie czysto teoretycznych scenariuszy.

Obowiązek informacyjny – punkt widzenia administratora

Po trzecie, TSUE odniósł się do kwestii obowiązku informacyjnego. Sąd UE stwierdził, iż EDPS powinien badać, czy dane stanowiły dane osobowe z perspektywy Deloitte. Trybunał stanowczo odrzucił tę tezę.

Zdaniem TSUE obowiązek informacyjny wynika z relacji między administratorem a osobą, której dane dotyczą. Oceniając jego zakres, należy patrzeć z perspektywy administratora, który zbiera dane, a nie odbiorcy, do którego dane zostaną później przekazane.

Trybunał doprecyzował, że:

  • obowiązek informacyjny należy oceniać w chwili zbierania danych,
  • decydująca jest sytuacja prawna i faktyczna administratora,
  • dalsze pseudonimizowanie i przekazywanie danych innym podmiotom nie zwalnia administratora z wcześniejszych obowiązków wobec osób, których dane dotyczą.

Znaczenie praktyczne – konsekwencje dla administratorów

Orzeczenie TSUE ma szerokie konsekwencje dla praktyki stosowania prawa ochrony danych osobowych w instytucjach UE, ale także – pośrednio – w ramach RODO:

  1. Rozszerzone rozumienie danych osobowych.
    Opinie, komentarze czy inne formy wyrażania poglądów należy traktować jako dane osobowe, choćby jeżeli nie zawierają one elementów identyfikujących wprost.
  2. Pseudonimizacja jako środek względny.
    Pseudonimizacja może skutecznie ograniczyć możliwość identyfikacji w stosunku do jednych podmiotów, ale nie wobec innych. Administratorzy i odbiorcy danych muszą każdorazowo badać, czy w danym przypadku identyfikacja osoby jest możliwa.
  3. Administrator jako centrum obowiązków.
    Obowiązek informacyjny ciąży na administratorze w chwili zbierania danych i nie może być uchylony poprzez ich pseudonimizację przed przekazaniem podmiotom trzecim.
  4. Znaczenie dla stosowania RODO.
    Choć sprawa dotyczyła Rozporządzenia 2018/1725, wyrok ma szersze znaczenie także dla praktyki krajowych organów nadzorczych i sądów stosujących RODO, ponieważ oba akty posługują się tą samą definicją danych osobowych i regulują analogiczne obowiązki administratora.

Podsumowanie – sprawa wraca do Sądu UE

Wyrok TSUE przesądza, iż w relacji między administratorem a osobą, której dane dotyczą, najważniejszy jest moment zbierania danych i perspektywa administratora. Opinie jednostki traktowane są jako dane osobowe, a pseudonimizacja nie zawsze pozbawia danych tego charakteru.

Sprawa została przekazana do ponownego rozpoznania przez Sąd UE, który będzie musiał ocenić działania SRB w świetle wykładni dokonanej przez TSUE. Ostateczne rozstrzygnięcie w zakresie odpowiedzialności SRB jeszcze nie zapadło, ale kierunek interpretacyjny został jednoznacznie wytyczony.

Idź do oryginalnego materiału
  1. Strona główna
  2. RODO i dane osobowe
  3. TSUE doprecyzował pojęcie pseudonimizacji

Powiązane

Księgi wieczyste pod większą kontrolą

Księgi wieczyste pod większą kontrolą

15 godzin temu
Polskie firmy żyją w iluzji cyberbezpieczeństwa

Polskie firmy żyją w iluzji cyberbezpieczeństwa

18 godzin temu
Baza danych z wynikami testów sprawnościowych uczniów. Czy to bezpieczne? Do RPO wpływają skargi rodziców i nauczycieli

Baza danych z wynikami testów sprawnościowych uczniów. Czy t...

1 dzień temu
ZUS przestrzega seniorów. To trzeba zrobić, aby nie stracić emerytury

ZUS przestrzega seniorów. To trzeba zrobić, aby nie stracić ...

2 dni temu
Sposób postępowania w przypadku naruszenia ochrony danych osobowych

Sposób postępowania w przypadku naruszenia ochrony danych os...

3 dni temu
ZUS cofnie emerytury. Seniorzy mają na to tylko 12 dni

ZUS cofnie emerytury. Seniorzy mają na to tylko 12 dni

3 dni temu
Cyfrowy kajdan czy zbawienny parasol – cała prawda o polityce internetowej UE

Cyfrowy kajdan czy zbawienny parasol – cała prawda o polityc...

3 dni temu
"Krok w stronę zgodności z prawem". Facebook i Instagram bez reklam

"Krok w stronę zgodności z prawem". Facebook i Instagram bez...

3 dni temu