CJEU: Psevdonimizacija podatkov
Sodišče EU je v zadevi C-413/23 P pojasnilo obseg pojma osebnih podatkov v okviru prenosa psevdonimiziranih podatkov tretjim osebam – ne gre za osebne podatke v vsakem primeru
Odločitev je bila objavljena 4.9.2025.
Sodišče EU je 4. septembra 2025 v zadevi EDPS proti SRB (Sodišče EU C
CJEU je poudarilo, da psevdonimizirani podatki niso vedno osebni podatki v vseh primerih in za vsako osebo. Potrebno je preučiti kontekst, namen in posledice obdelav psevdonimiziranih podatkov. Naloga upravljavca je, da ob prejemu podatkov in odločitvi o psevdonimizaciji posredovanih podatkov to opravi. Kadar upravljavec razkrijejo podatke, ki so z njihovega vidika osebni, drugi organizaciji, morajo informacije o tej dejavnosti vključiti v svoje informacije o zasebnosti, torej tudi če so podatki v rokah prejemnika anonimni. Sodišče EU je v tem primeru tudi potrdilo, da se osebna mnenja in stališča nujno „nanašajo“ na posameznike in pomenijo osebne podatke.
Psevdonimni podatki sami po sebi niso vedno osebni podatki
EDPS je trdil, da je treba psevdonimne podatke vedno šteti za osebne podatke, v vseh primerih in za vsako osebo, ki obdeluje podatke. Že samo dejstvo, da je ključ obstajal v rokah nekoga, je pomenilo, da je treba podatke v vseh primerih šteti za osebne podatke, ne glede na to, ali bi posameznika, na katerega se nanašajo osebni podatki, lahko dejansko identificirale druge stranke.
CJEU je to zavrnilo. Sklenilo je, da: »… psevdonimizacija lahko, odvisno od okoliščin primera, dejansko prepreči osebam, ki niso upravljavec, da bi identificirale posameznika, na katerega se nanašajo osebni podatki, tako da zanje ta posameznik ni ali ni več prepoznaven« [86]. To bi lahko bilo »… pod pogojem, da so takšni tehnični in organizacijski ukrepi dejansko vzpostavljeni in da preprečujejo, da bi se zadevni podatki pripisali posamezniku, na katerega se nanašajo osebni podatki … [v tem primeru] lahko psevdonimizacija vpliva na to, ali so ti podatki osebni ali ne …« [75].
V tem primeru je CJEU sklenilo, da bi bili podatki osebni, kar zadeva SRB – kot bi običajno veljalo za upravljavca, ki je izvedel psevdonimizacijo [76]. Vendar pa bi lahko psevdonimizacija v zvezi z družbo Deloitte zagotovila, da podatki niso več osebni. Da bi bilo tako, »… prvič, … družba Deloitte [ne sme biti] … v položaju, da bi odpravila te ukrepe med kakršno koli obdelavo komentarjev, ki se izvaja pod njenim nadzorom. Drugič, ti ukrepi morajo biti dejansko takšni, da družbi Deloitte preprečujejo, da bi te komentarje pripisala posamezniku, na katerega se nanašajo osebni podatki, vključno z uporabo drugih načinov identifikacije, kot je navzkrižno preverjanje z drugimi dejavniki, tako da za družbo zadevna oseba ni ali ni več prepoznavna« [76].
Sodišče EU je tudi ponovilo, da je pri ugotavljanju, ali je treba psevdonimne podatke šteti za osebne ali ne, ustrezen preizkus, ali je ponovna identifikacija „razumno verjetna“, pri čemer mora biti tveganje za identifikacijo „neznatno“, ker bi bila „prepovedana z zakonom ali v praksi nemogoča, na primer zato, ker bi vključevala nesorazmeren napor v smislu časa, stroškov in dela“ [82].
CJEU je preučilo tudi, kakšna bi bila situacija, če stranka A obdeluje psevdonimizirane podatke, ki niso osebni za stranko A, vendar stranka A nato podatke da na voljo nekomu drugemu (stranka B) in stranka B ima sredstva, ki razumno verjetno omogočajo identifikacijo posameznika, na katerega se nanašajo osebni podatki – kar predstavlja tveganje za ponovno identifikacijo. Sodišče EU se je sklicevalo na zadevo Gesamtverband Autoteile Handel (Sodišče EU C-319/22, EU:C:2023:837) in ugotovilo, da bi to pomenilo, da bi bilo treba podatke šteti za osebne tako za stranko A kot za stranko B [84].
Vir: Curia
