Přeskočit na obsah

Pseudonymizace a GDPR: Průlomové stanovisko generálního advokáta v případu EDPS vs. SRB (C-413/23 P)

Generální advokát (GA) Dean Spielman vydal nezávazné stanovisko ve věci EDPS vs. SRB (C-413/23 P) týkající se pseudonymizovaných údajů. Posuzoval otázku, zda osobní údaje, které agentura EU (Single Resolution Board – SRB) sdílí s Deloitte (konzultant SRB), zůstávají pro Deloitte nadále osobními údaji, i když jsou pseudonymizované.

Pseudonymizace a GDPR: Průlomové stanovisko generálního advokáta v případu EDPS vs. SRB (C-413/23 P)

Možný posun v chápání pseudonymizace

Tento postoj představuje významný posun v chápání pseudonymizace jako prostředku, který by mohl zajistit, že pro příjemce údajů nejsou tyto údaje více osobními. Pokud je pseudonymizace provedena dostatečně a reidentifikace osob není možná, neměly by být takové údaje pod ochranou GDPR.

Opačný postoj EDPS

EDPS však dlouhodobě zastává jiný názor. Podle něj pseudonymizované údaje zůstávají osobními, protože není rozhodující, zda příjemce má prostředky k reidentifikaci osob. Podobně argumentoval i ve věci T-557/20 SRB/EDPS, kde uvedl, že GDPR nerozlišuje mezi těmi, kdo uchovávají pseudonymizované údaje, a těmi, kdo uchovávají dodatečné informace pro reidentifikaci. Vždy se tak podle něj jedná o pseudonymizované, nikoliv anonymizované údaje.

Dopady pro praxi a budoucí vývoj

Soudní dvůr EU (SDEU) zatím nevydal konečný rozsudek, který se očekává v průběhu tohoto roku. Soud přitom není vázán stanoviskem generálního advokáta, takže výsledek je stále otevřený.

Tento případ bude obzvláště zajímavé sledovat v kontextu nedávno zveřejněných pokynů Evropského sboru pro ochranu osobních údajů (EDPB) o pseudonymizaci, které jsou v současnosti otevřeny pro veřejnou konzultaci. Očekává se, že výsledek této kauzy může mít zásadní dopady na praktiky sdílení a zpracování údajů v EU, zejména pokud jde o používání pseudonymizačních technik a bezpečnostních politik při nakládání s daty.

Závěr

Stanovisko generálního advokáta přináší nový pohled na pseudonymizaci jako možný nástroj pro vyloučení aplikace GDPR na sdílené údaje. Pokud by SDEU tento názor přijal, mohlo by to usnadnit sdílení dat mezi organizacemi, avšak zároveň by to mohlo oslabit ochranu osobních údajů. Jaký bude finální verdikt, se dozvíme až v rozhodnutí SDEU, které bude mít významný dopad na právní praxi v oblasti ochrany osobních údajů.

POTŘEBUJETE PRÁVNÍ POMOC?

Ozvěte se nám, rádi pomůžeme.

ARROWS advokátní kancelář

Autor článku:

JUDr. Jakub Dohnal, Ph.D., LL.M.
JUDr. Jakub Dohnal, Ph.D., LL.M.

Advokát, řídící partner

Řídící partner advokátní kanceláře ARROWS, advokát Jakub Dohnal se dlouhodobě zaměřuje na transakční poradenství, zejména v oblasti prodeje společností a developerských projektů. Je autorem knihy Jak prodat firmu s nemovitostmi, která je v prodeji u všech velkých domů. Právní služby spojuje s praktickým přesahem do byznysu – propojování projektů s investory a naopak.

Upozornění:

Informace obsažené v tomto článku mají pouze obecný informativní charakter a slouží k základní orientaci v problematice dle právního stavu k roku 2025. Ačkoliv dbáme na maximální přesnost obsahu, právní předpisy a jejich výklad se v čase vyvíjejí. Jsme ARROWS advokátní kancelář, subjekt zapsaný u České advokátní komory (náš orgán dohledu), a pro maximální bezpečí klientů jsme pojištěni pro případ profesní odpovědnosti s limitem 400.000.000 Kč. Pro ověření aktuálního znění předpisů a jejich aplikace na vaši konkrétní situaci je nezbytné kontaktovat přímo ARROWS advokátní kancelář (konzultace@arws.cz). Neneseme odpovědnost za případné škody vzniklé samostatným užitím informací z tohoto článku bez předchozí individuální právní konzultace.