Kiedy dane osobowe przestają być danymi osobowymi: orzeczenie TSUE zmieniające praktykę dotyczącą pseudonimizacji

Tło: Co się właściwie wydarzyło

Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji musiała oszacować wartość Banco Popular Español w ramach prowadzonej przez nią restrukturyzacji. Zebrano komentarze akcjonariuszy i wierzycieli, usunięto dane identyfikacyjne (dane zostały pseudonimizowane) i przesłano je do Deloitte w celu przeprowadzenia niezależnej wyceny. Europejski Inspektor Ochrony Danych stwierdził, że narusza to zasady przejrzystości, ponieważ Rada nie ujawniła prawidłowo odbiorców podczas gromadzenia danych.

Sprawa trafiła do Luksemburga, a Sąd wydał trzy orzeczenia istotne dla każdego, kto przetwarza dane w UE.

Trzy kluczowe zasoby

Po pierwsze: opinie są z natury danymi osobowymi. Kiedy wyrażasz pogląd lub komentarz, ten wyraz z natury odnosi się do Ciebie. Wydaje się to oczywiste, ale stwarza praktyczne problemy. Twoja opinia o produkcie, Twój komentarz na spotkaniu akcjonariuszy, Twoja recenzja na platformie – wszystkie te dane osobowe, automatycznie.

Po drugie, i to jest najważniejsze: dane pseudonimizowane nie zawsze są danymi osobowymi dla wszystkich. Z perspektywy zarządu – który ma klucz do ponownej identyfikacji osób – komentarze pozostały danymi osobowymi, z pełnymi obowiązkami wynikającymi z RODO. Jednak dla Deloitte, otrzymywanie pseudonimizowanych komentarzy bez realnego sposobu identyfikacji osób, może w ogóle nie stanowić danych osobowych. Brak danych osobowych oznacza brak obowiązków wynikających z RODO.

Przeczytaj to jeszcze raz, ponieważ przeczy to wszystkiemu, co organy ochrony danych mówią od siedmiu lat.

Po trzecie: obowiązki przejrzystości nakładane są na gromadzenie danych. Nawet jeśli dane staną się nieosobowe dla odbiorców po pseudonimizacji, administrator musi ujawnić wszystkich odbiorców przed ich zebraniem (jeśli opiera się na zgodzie). Tworzy to asymetrię – obowiązki administratora mają charakter bezwzględny, natomiast obowiązki odbiorcy zależą od jego rzeczywistych możliwości.

Dlaczego to ma znaczenie dla Twojej firmy

Większość firm technologicznych traktuje pseudonimizację jako środek bezpieczeństwa, który ściśle przestrzega przepisów RODO. Twój zespół prawny prawdopodobnie powiedział Ci: „Dane pseudonimizowane to nadal dane osobowe, więc potrzebujemy pełnej zgodności”. To prawda, opierając się na wytycznych regulacyjnych. Sąd stwierdził właśnie, że te wytyczne mijają się z celem.

Rozważ swój system analityczny. Pseudonimizujesz dane użytkowników przed wysłaniem ich do zewnętrznego dostawcy usług analitycznych. Dostawca ten nie ma dostępu do Twojego klucza identyfikacyjnego, nie ma rozsądnego sposobu na powiązanie danych z osobami fizycznymi i przetwarza dane wyłącznie w formie zagregowanej. Zgodnie z wyrokiem EDPS przeciwko SRB, może w ogóle nie przetwarzać danych osobowych. Nie jest wymagana ocena skutków dla ochrony danych. Nie ma praw osób, których dane dotyczą, do przetwarzania. Nie ma rekordów z artykułu 30. Nie ma mechanizmu transferu danych z rozdziału V, jeśli znajdują się poza UE.

Obniżenie kosztów zgodności jest znaczne. Działa to jednak tylko wtedy, gdy pseudonimizacja jest rzeczywiście skuteczna i można udokumentować, dlaczego odbiorca nie może ponownie zidentyfikować osób fizycznych.

Problem regulacyjny

I tu zaczyna się robić ciekawie. Europejska Rada Ochrony Danych opublikowała projekt wytycznych dotyczących pseudonimizacji na początku 2025 r. Wytyczne te stanowią, że dane pseudonimizowane pozostają danymi osobowymi w każdych okolicznościach. EROD traktuje pseudonimizację wyłącznie jako środek bezpieczeństwa w rozumieniu art. 32 RODO, a nigdy jako metodę usuwania danych z zakresu rozporządzenia.

Wyrok Trybunału bezpośrednio przeczy temu stanowisku. EROD stoi teraz przed niewygodnym zadaniem rewizji wytycznych, które leżą u podstaw wieloletniej praktyki organów nadzorczych w zakresie egzekwowania prawa. Krajowe organy regulacyjne opracowały metodologie audytu w oparciu o założenie, że odbiorcy danych pseudonimizowanych zawsze przetwarzają dane osobowe. Będą one potrzebowały nowych podejść.

Przejście do tego zajmie trochę czasu. Należy spodziewać się okresu niepewności regulacyjnej, podczas którego organy będą zastanawiać się, jak wdrożyć uzasadnienie Trybunału, nie wywołując chaosu w zakresie zgodności.

Co to oznacza dla transferu danych

Standardowe klauzule umowne obecnie zakładają, że przekazywane dane stanowią dane osobowe dla wszystkich stron. Standardowe klauzule umowne Komisji Europejskiej z 2021 r. nie uwzględniają sytuacji, w których odbiorca faktycznie nie jest w stanie zidentyfikować osób fizycznych i w związku z tym przetwarza dane nieosobowe.

Możesz obecnie spotkać się z sytuacjami, w których:

1. Jesteś administratorem danych z UE przekazującym pseudonimizowane dane amerykańskiemu dostawcy usług analitycznych
2. Zachowujesz klucz ponownej identyfikacji (więc dla Ciebie są to dane osobowe)
3. Dostawca nie może ponownie identyfikować osób (więc dla nich mogą to nie być dane osobowe)
4. Twoje Standardy Ubezpieczeń nakładają na dostawcę obowiązek ochrony danych osobowych
5. Dostawca twierdzi, że w ogóle nie przetwarza danych osobowych

To powoduje tarcia. Niektórzy odbiorcy będą sprzeciwiać się zobowiązaniom SCC w odniesieniu do danych, których nie uważają za osobiste. Potrzebne będą dodatkowe klauzule określające, kto i jakie obowiązki ma w tych zróżnicowanych scenariuszach. Zespoły prawne będą zachwycone godzinami rozliczeniowymi. Zespoły biznesowe nie.

Implikacje techniczne: Pseudonimizacja właśnie stała się poważna

Wyrok stwarza silne bodźce do inwestowania w solidne techniki pseudonimizacji. Jeśli uda się wykazać, że odbiorcy rzeczywiście nie są w stanie ponownie zidentyfikować osób, można zaoferować im przetwarzanie danych poza zakresem RODO. To atrakcyjna propozycja komercyjna.

Jednak powierzchowna pseudonimizacja nie zadziała. Organy regulacyjne będą analizować twierdzenia, że ​​dane nie są danymi osobowymi dla odbiorców. Należy udokumentować:

• Metodę pseudonimizacji i jej techniczną solidność
• Dlaczego ponowna identyfikacja jest praktycznie niemożliwa dla odbiorcy
• Jakie dodatkowe informacje byłyby potrzebne do identyfikacji
• Czy takie informacje są dostępne dla odbiorcy
• Zabezpieczenia organizacyjne zapobiegające ponownej identyfikacji

Pomyśl o prywatności różnicowej, szyfrowaniu homomorficznym i bezpiecznych obliczeniach wielostronnych. Technologie, które umożliwiają użyteczną analizę, jednocześnie uniemożliwiając identyfikację nawet przez zaawansowane podmioty. Takie rozwiązania są kosztowne, ale korzyści wynikające z przestrzegania przepisów mogą uzasadniać inwestycję.

A co z prawami osób, których dane dotyczą?

To stwarza dziwną sytuację. Jesteś administratorem danych w UE, który pseudonimizuje dane i wysyła je do trzech odbiorców. Odbiorca A ma możliwość ponownej identyfikacji (swoje dane osobowe). Odbiorcy B i C nie mają takiej możliwości (potencjalnie nie są to ich dane osobowe). Osoba fizyczna korzysta z prawa do usunięcia danych.

Musisz usunąć posiadane dane. Artykuł 19 RODO wymaga powiadomienia każdego odbiorcy o usunięciu danych. Artykuł 19 ma jednak zastosowanie do odbiorców, którym ujawniono dane osobowe. Jeśli B i C nie przetwarzają danych osobowych, czy artykuł 19 ma zastosowanie? Wyrok nie odnosi się do tego wprost.

Praktyczna odpowiedź: powiadom wszystkich odbiorców i pozwól im zdecydować, czy przetwarzają dane osobowe. Pozwala to uniknąć ryzyka pominięcia powiadomienia podczas przerzucania oceny danych osobowych na odbiorców.

Nierozstrzygnięte pytania

Wyrok rodzi więcej pytań niż daje odpowiedzi. Czy ta sama logika ma zastosowanie także poza pseudonimizacją? Informacje mogą identyfikować kogoś z Twojej perspektywy (znasz kontekst), ale nic nie znaczą dla odbiorcy (nie znają kontekstu). Czy są to również potencjalnie nieosobowe informacje dla odbiorcy?

A co z przepisami sektorowymi? Ustawa o sztucznej inteligencji, ustawa o usługach cyfrowych i dyrektywa o prywatności i łączności elektronicznej zawierają przepisy dotyczące danych. Czy stosują one to samo kontekstowe podejście do danych osobowych? Nie wiemy jeszcze.

Jak działają oceny uzasadnionych interesów w przypadku przesyłania danych, które mogą być osobiste dla Ciebie, ale nie dla odbiorców? Czy oceniasz wpływ na prywatność na podstawie samego przetwarzania, czy uwzględniasz sposób wykorzystania przez odbiorcę?

Te pytania będą przez lata zajmować sądy, organy regulacyjne i doradców prawnych.

Szerszy punkt widzenia

Sprawa EDPS przeciwko SRB stanowi sądowe uznanie rzeczywistości technologicznej. Prawo o ochronie danych musi uwzględniać fakt, że wiele podmiotów o różnych możliwościach przetwarza te same informacje. Sztywne podejście, traktujące wszystkie dane jednolicie, niezależnie od kontekstu, staje się niepraktyczne lub rozszerza regulacje poza ich uzasadnienie w prawach podstawowych.

Trybunał wybrał ocenę kontekstową zamiast zasad kategorycznych. To lepiej odzwierciedla rzeczywisty sposób przetwarzania danych w 2025 r., jednocześnie zachowując solidną ochronę tam, gdzie istnieje możliwość identyfikacji. To, czy takie podejście zapewni większą przejrzystość w zakresie zgodności, czy też większą niepewność, zależy od tego, jak szybko organy regulacyjne i praktycy dostosują się do nowych ram.

Na razie firmy technologiczne otrzymały jasny komunikat z Luksemburga: pseudonimizowane dane nie są automatycznie danymi osobowymi dla wszystkich. Wykorzystuj tę wiedzę strategicznie, ale starannie dokumentuj swoje argumenty. Organy regulacyjne nie zaakceptują po prostu twierdzeń, że dane nie są danymi osobowymi. Potrzebne są dowody.

Potrzebujesz wskazówek, jak ten wyrok wpływa na Twoje ustalenia dotyczące przetwarzania danych? Wolja Digital specjalizuje się w zapewnianiu zgodności z RODO dla firm technologicznych. Udzielamy praktycznych porad na temat technik pseudonimizacji, mechanizmów przesyłania danych i technologii zwiększających prywatność, które faktycznie sprawdzają się w rozwoju produktów.