Pseudonymizace a GDPR: Průlomové stanovisko generálního advokáta v případu EDPS vs. SRB (C-413/23 P)
Generální advokát (GA) Dean Spielman vydal nezávazné stanovisko ve věci EDPS vs. SRB (C-413/23 P) týkající se pseudonymizovaných údajů. Posuzoval otázku, zda osobní údaje, které agentura EU (Single Resolution Board – SRB) sdílí s Deloitte (konzultant SRB), zůstávají pro Deloitte nadále osobními údaji, i když jsou pseudonymizované.

Možný posun v chápání pseudonymizace
Tento postoj představuje významný posun v chápání pseudonymizace jako prostředku, který by mohl zajistit, že pro příjemce údajů nejsou tyto údaje více osobními. Pokud je pseudonymizace provedena dostatečně a reidentifikace osob není možná, neměly by být takové údaje pod ochranou GDPR.
Opačný postoj EDPS
EDPS však dlouhodobě zastává jiný názor. Podle něj pseudonymizované údaje zůstávají osobními, protože není rozhodující, zda příjemce má prostředky k reidentifikaci osob. Podobně argumentoval i ve věci T-557/20 SRB/EDPS, kde uvedl, že GDPR nerozlišuje mezi těmi, kdo uchovávají pseudonymizované údaje, a těmi, kdo uchovávají dodatečné informace pro reidentifikaci. Vždy se tak podle něj jedná o pseudonymizované, nikoliv anonymizované údaje.
Dopady pro praxi a budoucí vývoj
Soudní dvůr EU (SDEU) zatím nevydal konečný rozsudek, který se očekává v průběhu tohoto roku. Soud přitom není vázán stanoviskem generálního advokáta, takže výsledek je stále otevřený.
Tento případ bude obzvláště zajímavé sledovat v kontextu nedávno zveřejněných pokynů Evropského sboru pro ochranu osobních údajů (EDPB) o pseudonymizaci, které jsou v současnosti otevřeny pro veřejnou konzultaci. Očekává se, že výsledek této kauzy může mít zásadní dopady na praktiky sdílení a zpracování údajů v EU, zejména pokud jde o používání pseudonymizačních technik a bezpečnostních politik při nakládání s daty.
Závěr
Stanovisko generálního advokáta přináší nový pohled na pseudonymizaci jako možný nástroj pro vyloučení aplikace GDPR na sdílené údaje. Pokud by SDEU tento názor přijal, mohlo by to usnadnit sdílení dat mezi organizacemi, avšak zároveň by to mohlo oslabit ochranu osobních údajů. Jaký bude finální verdikt, se dozvíme až v rozhodnutí SDEU, které bude mít významný dopad na právní praxi v oblasti ochrany osobních údajů.
Autor článku:
Upozornění:
Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2025. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (konzultace@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.
