W dniu 4 września 2025 r. Trybunał Sprawiedliwości Unii Europejskiej wydał orzeczenie w sprawie przeciwko SRB (C-413/23 P) precyzując pojęcie danych osobowych w kontekście przekazywania danych pseudonimizowanych. Co wynika z tego wyroku?
Stan faktyczny
W związku z restrukturyzacją/likwidacją banków, instytucja unijna – Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) – zaoferowała akcjonariuszom i wierzycielom możliwość wyrażenia swoich komentarzy na temat projektu restrukturyzacji/likwidacji. Komentarze te zostały przekazane Deloitte, a imię i nazwisko każdego komentującego zastąpiono kodem.
Europejski Inspektor Ochrony Danych stwierdził, że SRB naruszyła swoje obowiązki informacyjnie – nie informując o udostępnianiu ich danych Deloitte. SRB argumentował, że nie miał obowiązku informowania respondentów, ponieważ dane przekazane Deloitte nie stanowiły już danych osobowych.
Dane nie-osobowe – ocena wg konkretnego przypadku
TS UE stwierdził, że dane poddane pseudonimizacji nie mogą być uznawane za dane osobowe we wszystkich przypadkach. Pseudonimizacja może, w zależności od okoliczności, skutecznie uniemożliwić zidentyfikowanie osoby, której dane dotyczą. W ten sposób można osiągnąć skutek w postaci powstania danych nie-osobowych. Należy również zauważyć, że dane poddane pseudonimizacji nie mogą być domyślnie uznawane za dane anonimowe, a tym samym za dane nie-osobowe. Wszystko zależy od środków technicznych i organizacyjnych stosowanych przez dany podmiot.
Odnośnie do tego, kiedy osobę uznaje się za możliwą do zidentyfikowania, TS UE udzielił ograniczonych wskazówek. TS UE wskazał, zgodnie z dotychczasowymi interpretacjami, że należy wziąć pod uwagę wszystkie środki, co do których istnieje uzasadnione prawdopodobieństwo, że zostaną wykorzystane. Trybunał orzekł, że nie jest prawdopodobne, aby dało się zidentyfikować daną osobę, gdy ryzyko identyfikacji wydaje się w rzeczywistości nieznaczne, a identyfikacja tej osoby, której dane dotyczą, jest zabroniona przez prawo lub niemożliwa w praktyce. Taka sytuacja mogłaby wystąpić na przykład gdy wymagałaby to nieproporcjonalnie dużego wysiłku pod względem czasu, kosztów lub pracy.
Tym samym TS UE potwierdził relatywną koncepcję danych osobowych – istotna jest perspektywa odbiorcy danych; to czy ma możliwość zidentyfikowania konkretnej osoby fizycznej.
Prywatne opinie to dane osobowe
TS UE wypowiedział się również w kwestii, czy prywatne opinie (komentarze) stanowią dane osobowe, Trybunał orzekł, że nie ma potrzeby badania treści, celu ani skutków takich komentarzy, ponieważ są one z natury ściśle związane z daną osobą. Innymi słowy, osobiste opinie są domyślnie danymi osobowymi.
Podsumowanie
Najnowszy wyrok TS UE potwierdza, że dane osobowe są koncepcją relatywną, zależną od “pozycji” odbiorcy danych (np. zakresu aktualnie posiadanych innych danych). To “pozycja” odbiorcy danych determinuje, czy otrzymując dane poddane pseudonimizacji podmiot ma do czynienia z danymi osobowymi czy nie.
W przypadku pytań lub wątpliwości – zachęcam do kontaktu: piotr.mijal@prawo-it.pl
