W dniu 4 września 2025 roku Trybunał Sprawiedliwości Unii Europejskiej wydał ważny wyrok w sprawie o sygnaturze C-413/23 P (Europejski Inspektor Ochrony Danych przeciwko Jednolitej Radzie ds. Restrukturyzacji i Uporządkowanej Likwidacji – SRB), w którym doprecyzował pojęcie danych osobowych w kontekście przekazywania danych pseudonimizowanych.
Zgodnie z prawem unijnym „pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W praktyce dane są zastępowane pseudonimami, kodami lub identyfikatorami, które same w sobie nie pozwalają na zidentyfikowanie konkretnej osoby, ale po połączeniu z dodatkowymi danymi (które powinny być przechowywane osobno) umożliwiają ponowne przypisanie ich do tej osoby.
Sprawa, która trafiła przed Trybunał, dotyczyła postępowania restrukturyzacyjnego wobec banku Banco Popular Español prowadzonego przez SRB, czyli organ odpowiedzialny za restrukturyzację i uporządkowaną likwidację instytucji kredytowych w Unii Europejskiej. W trakcie postępowania SRB zbierała dane od akcjonariuszy i wierzycieli Banco Popular, a następnie przekazała pseudonimizowane dane (uwagi uczestników postępowania) firmie Deloitte, odpowiedzialnej za przeprowadzenie wyceny wymaganej przez przepisy rozporządzenia o jednolitym mechanizmie restrukturyzacji i uporządkowanej likwidacji. Europejski Inspektor Ochrony Danych uznał, że SRB naruszyła art. 15 ust. 1 lit. d rozporządzenia 2018/1725, ponieważ nie poinformowała uczestników postępowania, że ich dane mogą zostać przekazane do Deloitte. W odpowiedzi na taki zarzut SRB argumentowała, że przekazane informacje, jako pseudonimizowane, nie stanowiły już danych osobowych. Ostatecznie sprawa trafiła do Sądu UE, a następnie do TSUE.
Uwagi uczestników przekazane Deloitte przez SRB były wyłącznie uwagami uzyskanymi w fazie konsultacji i opatrzonymi kodem alfanumerycznym. Wyłącznie SRB mogła za pomocą tego kodu powiązać uwagi z danymi, w szczególności danymi identyfikacyjnymi autorów uwag. Kod alfanumeryczny opracowano do celów audytu, aby umożliwić weryfikację i ewentualne wykazanie a posteriori, że każdy komentarz został przeanalizowany i należycie uwzględniony. Deloitte nie miała dostępu do bazy danych zebranych we wcześniejszych fazach postępowania, tj. fazie rejestracji ani w toku postępowania dotyczącego prawa do bycia wysłuchanym.
W wyroku z 4 września 2025 roku Trybunał stwierdził, że pseudonimizacja nie wpływa na ocenę danych jako danych osobowych, jeśli istnieje możliwość przypisania ich konkretnej osobie przy użyciu dodatkowych informacji. Jednocześnie TSUE wyraźnie zaznaczył, że nie można automatycznie przyjmować, że dane pseudonimizowane stanowią dane osobowe wobec każdego podmiotu i w każdej sytuacji. Ocena tego, czy dane mają charakter osobowy, zależy od kontekstu, a więc od tego, kto ma do nich dostęp i czy realnie może zidentyfikować osobę, której dane dotyczą. Dla administratora, który posiada dodatkowe informacje pozwalające powiązać dane z konkretną osobą, będą one danymi osobowymi i będą podlegać pełnej ochronie. Dla podmiotu trzeciego, który nie ma takich możliwości, te same dane mogą nie mieć już charakteru danych osobowych.
Przekładając powyższe na stan faktyczny rozpatrywanej sprawy, dla SRB, która mogła przywrócić tożsamość uczestników postępowania, przekazane dane pozostawały danymi osobowymi. W związku z tym na SRB ciążył obowiązek informacyjny wobec osób, których dane dotyczyły. Dla Deloitte, która nie miała klucza ani żadnej innej możliwości identyfikacji konkretnych osób, te dane nie musiały być danymi osobowymi w rozumieniu przepisów o ochronie danych.
W sprawie C-413/23 P Trybunał przypomniał, że pseudonimizacja jest środkiem bezpieczeństwa, a nie sposobem na wyłączenie danych spod reżimu ochrony. Administrator, który przekazuje nawet zniekształcone dane osobowe stronie trzeciej, powinien o tym poinformować osoby, których dane dotyczą. Pseudonimizacja nie zwalnia zatem administratora z obowiązków wynikających z przepisów.
Mimo że postępowanie przed Trybunałem nie dotyczyło wprost przepisów RODO, a rozporządzenia 2018/1725, które reguluje przetwarzanie danych przez organy i instytucje Unii Europejskiej, to TSUE wskazał wprost w orzeczeniu, że przepisy obu aktów należy interpretować tak samo.
W przypadku zainteresowania tematem przedstawionym w artykule, prosimy o kontakt na: kancelaria@cddlegal.pl.
Autor: Kaja Stelmaszewska
