W kwietniu tego roku zapadło ciekawe rozstrzygnięcie Trybunału Sprawiedliwości UE, które może zrewolucjonizować podejście do definicji danych osobowych. Co więcej, może ułatwić (choćby nieco 😉) już i tak całkiem mocno strudzone życie przedsiębiorców mierzących się z ciężarem przestrzegania RODO w ich organizacjach. Ale po kolei 😊

Dlaczego sprawa trafiła do TSUE?

Początek historii, która „powędrowała” aż do TSUE, rozpoczyna się od chwili nawiązania przez administratora danych współpracy z firmą konsultingową. Administrator wykorzystał bowiem elektroniczny formularz do umożliwienia wyrażenia opinii przez osoby tym zainteresowane i udostępnił otrzymane odpowiedzi podmiotowi świadczącymi usługi konsultingowe. Usługodawca nie otrzymał jednakże imion i nazwisk respondentów – a wyłącznie kody alfanumeryczne. Tylko administrator był w stanie odszyfrować dane. Osoby, które wypełniły formularz stwierdziły, że zachodzą podstawy do złożenia skargi, albowiem nie zostały poinformowane przez administratora, że ten udostępnił ich dane osobowe. Tym samym, w ich ocenie stanowiło to naruszenie RODO. Ale czy na pewno były to dane osobowe? I w tym momencie przechodzimy do sedna sprawy.

Sprawa trafiła do Europejskiego Inspektora Ochrony Danych, który stwierdził że w wyżej opisanym przypadku doszło do pseudonimizacji danych, a nie ich anonimizacji. Jaka jest różnica? Pseudonimizacja jest zdefiniowana w RODO jako „przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Tym samym podkreśla się, iż pseudonimizacja oznacza sposób zabezpieczenia danych. W efekcie, dane speudonimizowane to dane, które są przechowywane osobno i w ramach zestawienia w jakim funkcjonują – nie można ich przypisać danej osobie, a owe przypisanie jest możliwe dzięki dodatkowym informacjom, które także są przechowywane osobno – tj. poza zbiorem zawierającym dane speudonimizowane. „Typowym przykładem pseudonimizacji danych osobowych będzie posługiwanie się numerami identyfikacyjnym i ograniczonym zestawem danych osobowych zamiast pełnego zestawu danych”[1] . W przypadku anonimzacji, dane umożliwiające identyfikacje są natomiast usuwane.

Z rozstrzygnięciem nie zgodził się Trybunał Sprawiedliwości UE, który wyrokiem z dnia z dnia 26 kwietnia 2023 r., T-557/20, stwierdził nieważność decyzji Europejskiego Inspektora Ochrony Danych. Z wyroku TSUE wynika, że kluczowym aspektem, dla ustalenia, czy informacje przekazane odbiorcy danych stanowią̨ dane osobowe,  jest punkt widzenia odbiorcy danych. A dokładniej, konieczne jest zweryfikowanie, czy informacje, które zostały mu przekazane, odnoszą̨ się̨ do osób możliwych do zidentyfikowania.

Jak przedstawia się nasz pogląd?

Rozstrzygnięcie TSUE, w ujęciu formalistycznym, może być odebrane jako wbrew literze prawa. Z RODO wynika bowiem, że dane poddane pseudonimizacji, są nadal danymi osobowymi. Równocześnie stanowisko TSUE zmierza w kierunku praktycznego podejścia i wyjścia naprzeciw biznesowi. Może to jednakże rodzić pewne niebezpieczeństwo. Załóżmy bowiem, że haker włamie się do systemu podmiotu, który otrzymał speudonimizowane dane, jak i do systemu podmiotu który posiada dodatkowe informacje i klucz, dzięki któremu można przypisać dane speudonimizowane do danych identyfikujących. Taka sytuacja nie często może się wydarzyć, ale nie jest wykluczona.

Ciekawym aspektem jest to, czy zmieni to także podejście polskiego organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych. Warto podkreślić, iż jeszcze w starym stanie prawnym, Generalny Inspektor Ochrony Danych Osobowych (którego następcą prawnym jest Prezes UODO), stanął na stanowisku identycznym do Europejskiego Inspektora Ochrony Danych. Podejście takie zostało zaaprobowane także przez orzecznictwo[2]. Dotychczasowa praktyka Urzędu Ochrony Danych Osobowych sugeruje, że takie stanowisko pozostało aktualne. Czy ulegnie ono zmianie? Czas pokaże 😊

[1] Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz red. dr Paweł Litwiński

[2] Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 7 czerwca 2013 r., sygn. II SA/Wa 666/13