Pseudonymizace a GDPR: Průlomové stanovisko generálního advokáta v případu EDPS vs. SRB (C-413/23 P)

JUDr. Jakub Dohnal, Ph.D., LL.M.
JUDr. Jakub Dohnal, Ph.D., LL.M.
10.2.2025 | ARROWS advokátní kancelář

Generální advokát (GA) Dean Spielman vydal nezávazné stanovisko ve věci EDPS vs. SRB (C-413/23 P) týkající se pseudonymizovaných údajů. Posuzoval otázku, zda osobní údaje, které agentura EU (Single Resolution Board – SRB) sdílí s Deloitte (konzultant SRB), zůstávají pro Deloitte nadále osobními údaji, i když jsou pseudonymizované.

Autor článku: ARROWS advokátní kancelář (JUDr. Jakub Dohnal, Ph.D., LL.M., office@arws.cz, +420 245 007 740)

GA Spielman ve svém stanovisku uvedl, že Evropský inspektor ochrany údajů (EDPS) by neměl automaticky považovat pseudonymizované údaje za osobní údaje, ale měl by zkoumat, zda má příjemce údajů prostředky k identifikaci dotčených osob. Pokud příjemce takovými prostředky nedisponuje a zároveň je pseudonymizace dostatečně robustní a bezpečná, neměly by být tyto údaje nadále považovány za osobní.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Možný posun v chápání pseudonymizace

Tento postoj představuje významný posun v chápání pseudonymizace jako prostředku, který by mohl zajistit, že pro příjemce údajů nejsou tyto údaje více osobními. Pokud je pseudonymizace provedena dostatečně a reidentifikace osob není možná, neměly by být takové údaje pod ochranou GDPR.

Opačný postoj EDPS

EDPS však dlouhodobě zastává jiný názor. Podle něj pseudonymizované údaje zůstávají osobními, protože není rozhodující, zda příjemce má prostředky k reidentifikaci osob. Podobně argumentoval i ve věci T-557/20 SRB/EDPS, kde uvedl, že GDPR nerozlišuje mezi těmi, kdo uchovávají pseudonymizované údaje, a těmi, kdo uchovávají dodatečné informace pro reidentifikaci. Vždy se tak podle něj jedná o pseudonymizované, nikoliv anonymizované údaje.

Dopady pro praxi a budoucí vývoj

Soudní dvůr EU (SDEU) zatím nevydal konečný rozsudek, který se očekává v průběhu tohoto roku. Soud přitom není vázán stanoviskem generálního advokáta, takže výsledek je stále otevřený.

Tento případ bude obzvláště zajímavé sledovat v kontextu nedávno zveřejněných pokynů Evropského sboru pro ochranu osobních údajů (EDPB) o pseudonymizaci, které jsou v současnosti otevřeny pro veřejnou konzultaci. Očekává se, že výsledek této kauzy může mít zásadní dopady na praktiky sdílení a zpracování údajů v EU, zejména pokud jde o používání pseudonymizačních technik a bezpečnostních politik při nakládání s daty.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Závěr

Stanovisko generálního advokáta přináší nový pohled na pseudonymizaci jako možný nástroj pro vyloučení aplikace GDPR na sdílené údaje. Pokud by SDEU tento názor přijal, mohlo by to usnadnit sdílení dat mezi organizacemi, avšak zároveň by to mohlo oslabit ochranu osobních údajů. Jaký bude finální verdikt, se dozvíme až v rozhodnutí SDEU, které bude mít významný dopad na právní praxi v oblasti ochrany osobních údajů.

ozvěte se nám,
vyřešíme to za Vás
office@arws.cz 245 007 740
Domluvit konzultaci

Upozornění: Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je proto nezbytné kontaktovat přímo ARROWS advokátní kancelář (office@arws.cz). Neneseme žádnou odpovědnost za případné škody či komplikace vzniklé samostatným užitím informací z tohoto článku bez naší předchozí individuální právní konzultace a odborného posouzení. Každý případ vyžaduje řešení na míru, proto nás neváhejte oslovit.