Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 4 września 2025 r. w sprawie C-413/23 dokonał istotnych rozstrzygnięć dotyczących charakteru danych pseudonimizowanych oraz obowiązków związanych z ich udostępnianiem. Sprawa dotyczyła praktyki Jednolitej Rady ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB), która przekazywała spseudonimizowane dane w ramach procedury odszkodowawczej dla akcjonariuszy i wierzycieli. Europejski Inspektor Ochrony Danych zakwestionował zgodność takiego działania z przepisami o ochronie danych osobowych, uznając, że przekazane informacje zachowały charakter danych osobowych.

Pseudonimizacja to nie anonimizacja

Trybunał potwierdził, że pseudonimizacja nie jest równoznaczna z anonimizacją. Usunięcie lub zastąpienie bezpośrednich identyfikatorów nie powoduje automatycznie utraty charakteru danych osobowych, jeżeli istnieje realna możliwość powiązania informacji z konkretną osobą fizyczną.

 Jednak w ocenie Trybunału kluczowe znaczenie ma perspektywa podmiotu, który otrzymuje dane.

W uzasadnieniu wyroku wskazano:

„…spseudonimizowane informacje należy uznać za dane osobowe w stosunku do odbiorcy, jeżeli ten odbiorca dysponuje środkami umożliwiającymi, samodzielnie lub we współpracy z innymi, przypisanie tych informacji określonej osobie fizycznej. Natomiast jeżeli odbiorca nie ma obiektywnie żadnej możliwości dokonania takiej identyfikacji, informacje te należy traktować jako dane zanonimizowane.”

I dalej:

„Zatem możliwość identyfikacji należy oceniać z perspektywy konkretnego odbiorcy danych. W sytuacji, w której odbiorca nie ma dostępu do dodatkowych informacji pozwalających na powiązanie spseudonimizowanych danych z osobą fizyczną, dane te nie stanowią dla niego danych osobowych.”

Z tego względu Trybunał jednoznacznie wskazał, że podmiot, któremu udostępnia się spseudonimizowane informacje, należy traktować jako odbiorcę danych osobowych, o ile ma obiektywnie istniejącą możliwość dokonania identyfikacji. Tylko w sytuacji, gdy odbiorca nie dysponuje żadnymi środkami ani realnym dostępem do informacji pozwalających na ustalenie tożsamości, dane mogą być uznane za zanonimizowane, a więc wyłączone spod reżimu ochrony danych osobowych.

W konsekwencji, administrator danych nie może uchylać się od obowiązków informacyjnych wobec osób, których dane dotyczą, powołując się wyłącznie na fakt pseudonimizacji. Przekazanie takich informacji wciąż stanowi operację przetwarzania danych osobowych i wymaga zapewnienia zgodności z odpowiednimi regulacjami.

Konsekwencje dla rozwoju technologii i modeli AI

Orzeczenie to ma szczególne znaczenie także w kontekście rozwoju technologii opartych na danych, w tym modeli sztucznej inteligencji. Wiele projektów badawczych i komercyjnych wykorzystuje dane pseudonimizowane jako kompromis między dostępnością a ochroną prywatności. Trybunał jednak wyraźnie przypomina, że taka forma przetwarzania nie wyłącza reżimu ochrony danych osobowych. Oznacza to, że:

• Modele AI uczone na danych pseudonimizowanych muszą być traktowane jako modele przetwarzające dane osobowe, a więc podlegają pełnym wymogom RODO.
• Udostępnianie zestawów treningowych innym podmiotom – nawet po pseudonimizacji – będzie wymagało oceny, czy odbiorca może odwrócić proces i powiązać dane z konkretnymi osobami. Jeżeli tak, to dane nadal zachowują swój osobowy charakter.
• Strategie anonimizacji: aby realnie wyłączyć dane spod RODO, konieczne będzie takie przetwarzanie, które całkowicie uniemożliwi odtworzenie tożsamości.
• Rozwój technologii deidentyfikacji musi być powiązany z oceną ryzyka reidentyfikacji w praktyce, a nie wyłącznie z techniczną procedurą usunięcia identyfikatorów.

Wyrok ten wskazuje na obowiązek zachowania dodatkowej ostrożności przez wszystkie podmioty rozwijające systemy AI opierające się na dużych zbiorach danych. Pseudonimizacja może zmniejszać ryzyko, ale nie zwalnia z odpowiedzialności prawnej. W praktyce oznacza to konieczność wdrażania ścisłych procedur prawnych i technicznych zarówno przy pozyskiwaniu, jak i udostępnianiu danych wykorzystywanych w uczeniu maszynowym.