TSUE podjął decyzję, która kwestionuje stanowisko Europejskiego Inspektora Ochrony Danych dotyczące definicji danych osobowych. Sprawa dotyczyła przekazania firmie konsultingowej spedonimizowanych danych zebranych za pomocą elektronicznego formularza. TSUE podkreślił, że kluczowym kryterium jest perspektywa odbiorcy danych przy ocenie kwalifikacji danych, co rewolucjonizuje dotychczasowe podejście organów, a przez to szacunek ryzyka i budowę modeli biznesowych przez organizacje.

Czytaj też: Umowy na usługi chmurowe: Wyzwania i zabezpieczenia dla przedsiębiorstw w erze cyfrowej​ >>

Stan faktyczny

Podmiot, którego dotyczy postępowanie („administrator”), wykorzystał elektroniczny formularz dla osób zainteresowanych do wyrażenia swoich opinii i udostępnił otrzymane odpowiedzi firmie konsultingowej („odbiorca danych”). Wcześniej zastąpił imię i nazwisko każdego respondenta kodem alfanumerycznym (przekazane odpowiedzi nie zawierały żadnych informacji bezpośrednio identyfikujących osoby fizyczne). Za pomocą nadanego kodu administrator jako jedyny mógł powiązać komentarze z danymi otrzymanymi w fazie rejestracji.

Na takie działanie administratora złożone zostały do Europejskiego Inspektora Ochrony Danych („EIOD”) skargi, w których skarżący powołali się̨ na fakt, że administrator nie poinformował ich o przekazaniu danych osobom trzecim, co stanowiło naruszenie przepisów rozporządzenia RODO. Zdaniem administratora przekazywanie tych informacji nie było konieczne, ponieważ dane były zanonimizowane i z perspektywy odbiorcy nie mogły być uznane za dane osobowe.

 

Dane anonimowe czy nie? 

W wyniku postępowania EIOD ocenił, że brak dostępu odbiorcy danych do informacji, które posiadał administrator, pozwalających na identyfikację osób fizycznych, nie skutkuje tym, że „spseudonimizowane” dane stały się danymi anonimowymi. Różnica między danymi spseudonimizowanymi a danymi anonimowymi polega bowiem na tym, że w przypadku danych anonimowych nie ma „dodatkowych informacji”, które mogłyby zostać́ wykorzystane do przypisania danych konkretnej osobie, podczas gdy w przypadku danych spseudonimizowanych takie dodatkowe informacje istnieją̨. Okoliczność, iż odbiorca danych sam nie był w stanie przypisać́ odpowiedzi do konkretnych osób fizycznych nie wyklucza tego, że otrzymane przez niego dane były spseudonimizowane, a więc objęte reżimem rozporządzenia RODO.

Rozstrzygnięcie TSUE - perspektywa odbiorcy a kryterium identyfikowalności

Z takim rozstrzygnięciem nie zgodził się TSUE w wyroku z dnia z dnia 26 kwietnia 2023 r., T-557/20, stwierdzając nieważność́ decyzji Europejskiego Inspektora Ochrony Danych.

Trybunał wskazał, że w celu ustalenia, czy informacje przekazane odbiorcy danych stanowią̨ dane osobowe, należy przyjąć punkt widzenia odbiorcy danych w celu ustalenia, czy informacje, które zostały mu przekazane, odnoszą̨ się̨ do „osób możliwych do zidentyfikowania”.

TSUE podkreślił, że istotne jest, czy odbiorca danych mógłby, przy zastosowaniu dostępnych mu środków, zidentyfikować konkretne osoby fizyczne. Wartość dodana tkwi w indywidualnej ocenie, czy informacje przekazane umożliwiają identyfikację osób fizycznych.

 


Praktyczne implikacje

Rozstrzygnięcie TSUE wskazuje, że sama możliwość dostępu administratora do informacji identyfikujących nie przekłada się na automatyczne uznawanie danych za dane osobowe dla odbiorcy. Należy więc każdorazowo zbadać, czy odbiorca ma realną możliwość identyfikacji oznaczonych osób fizycznych za pomocą dostępnych środków i możliwości.

Wyrok TSUE stanowi ważny punkt odniesienia w szczególności dla branży IT z uwagi na jej specyfikę i charakter działania, przypominając o konieczności ścisłego przestrzegania norm ochrony danych w zrównoważony sposób dla wszystkich zainteresowanych stron. Omawiane podejście pozwala jednak na optymalizację procesową i kosztową zakładanych modeli biznesowych, w tym zasad współpracy pomiędzy podmiotami, ograniczając przy tym ryzyka i obowiązki administracyjne.

W modelach, gdzie przekazywane informacje pomiędzy współpracującymi podmiotami nie mogą wedle wytycznych TSUE zostać zakwalifikowane jako dane osobowe, proces ten nie będzie podlegał bowiem regulacjom RODO. W każdej jednak sytuacji, gdzie jeden podmiot dysponuje danymi "wejściowymi", a drugi jedynie ich skrótem (danymi zaszyfrowanymi), konieczne jest dokładne zbadanie możliwości identyfikacji osób fizycznych przez odbiorcę danych.

Katarzyna Ożga, radca prawny w Deloitte