Što kada primatelj podataka ne može doći do osobnih podataka koje ima voditelj obrade jer ih je sam voditelj obrade pseudonimizirao?
26. travnja 2023. Opći sud Europske unije donio je presudu u predmetu T-557/20, SRB protiv EDPS-a.
Sud je smatrao da se pseudonimizirani podaci koji se prenose primatelju podataka neće smatrati osobnim podacima ako primatelj podataka nema sredstva za ponovnu identifikaciju ispitanika s obzirom da su isti pseudonimizirani. Sud je također pojasnio da se mišljenja pojedinca neće uvijek smatrati osobnim podacima; umjesto toga, potrebna je procjena od slučaja do slučaja.
Pozadina slučaja
SRB je upotrijebio elektronički obrazac za zainteresirane strane da izraze svoja stajališta i podijelio dobivene odgovore s Deloitte, konzultantskom tvrtkom. Prije dijeljenja odgovora, SRB je ime svakog ispitanika zamijenio kodom. Nakon niza pritužbi, EDPS odlučio je da je SRB podijelio pseudonimizirane osobne podatke s konzultantskom tvrtkom bez da je o tom dijeljenju obavijestio ˝pogođene˝ pojedince. SRB je smatrao da je davanje te informacije nepotrebno jer su preneseni podaci anonimizirani te se stoga ne mogu smatrati osobnim podacima za primatelja podataka.
Pseudonimni ili anonimizirani podaci.... mnogi ne znaju razliku (ili ne "žele znati")....
Opći sud istaknuo je da je, u skladu s odlukom Suda EU u predmetu Breyer, kako bi se utvrdilo predstavljaju li pseudonimizirani podaci preneseni primatelju podataka osobne podatke, potrebno uzeti u obzir perspektivu primatelja podataka. Ako primatelj podataka nema nikakve dodatne informacije koje bi mu omogućile ponovnu identifikaciju ispitanika i nema dostupna pravna sredstva za pristup takvim informacijama, poslani podaci mogu se smatrati anonimiziranim i stoga nisu osobni podaci. Činjenica da pošiljatelj podataka ima sredstva za ponovnu identifikaciju ispitanika nije relevantna i ne znači da su preneseni podaci automatski i osobni podaci za primatelja.
Mišljenja kao osobni podatak
Opći sud također je presudio da, iako osobni stavovi ili mišljenja mogu predstavljati osobne podatke, ne može se pretpostaviti da su takvi; umjesto toga, potrebna je procjena od slučaja do slučaja "temeljena na ispitivanju je li svojim sadržajem, svrhom ili učinkom gledište povezano s određenom osobom".
Pravni lijek i daljnji tijek postupka
Dana 6. veljače 2025., nezavisni odvjetnik (Advocate General) Spielmann objavio je svoje mišljenje u predmetu European Data Protection Supervisor (EDPS) protiv SRB-a (predmet C‑413/23 P). U ovom slučaju EDPS je uložio žalbu na odluku Općeg suda.
U sukusu, slučaj se okreće pitanju jesu li pseudonimizirani osobni podaci koje je podijelio SRB, nezavisna agencija EU-a sa sjedištem u Bruxellesu i glavno tijelo za sve kreditne institucije sa sjedištem u bankovnoj uniji, sa svojim konzultantima, Deloitteom, osobni podaci za Deloitte i može li se automatski zaključiti da pseudonimizirani podaci također moraju biti osobni podaci za Deloitte.
Nezavisni odvjetnik zaključuje da su kodirana mišljenja koja su pojedinci izrazili i koje je SRB podijelio s Deloitteom osobni podaci koji se odnose na te pojedince i da EDPS nije morao ispitati sadržaj tih mišljenja da bi došao do ovog zaključka. Mišljenja se "odnose" na one pojedince koji ih daju i kao takva se kvalificiraju kao njihovi osobni podaci.
Drugo, nezavisni odvjetnik navodi da EDPS nije trebao zaključiti da su pseudonimizirani podaci koje dijeli SRB s Deloitteom automatski osobni podaci za Deloitte. Umjesto toga, EDPS je trebao provjeriti je li Deloitte imao na raspolaganju "razumna sredstva" – tj. tehničke, pravne ili druge mogućnosti – da identificira dotične pojedince. Međutim, nezavisni odvjetnik također napominje da "samo tamo gdje rizik identifikacije ne postoji ili je beznačajan, podaci mogu zakonski izbjeći klasificiranje kao osobni podaci'", čime se učinkovito postavlja visoka letvica pri primjeni ovog standarda.
Konačno, nezavisni odvjetnik smatra da je SRB trebao obavijestiti pojedince prema zakonskim obvezama transparentnosti o otkrivanju njihovih pseudonimiziranih podataka Deloitteu, čak i ako su ti podaci za Deloitte anonimni.
CJEU će sada morati donijeti svoju presudu, u svjetlu mišljenja nezavisnog odvjetnika, nešto što se može očekivati prije ovog ljeta. Povijesno gledano, Sud je u većini slučajeva slijedio mišljenje nezavisnih odvjetnika, ali ono nije obvezno.
Zaključak
Što se tiče pristanka podnositelja pritužbe, njihovo sudjelovanje u postupku saslušanja može se tumačiti kao implicitni pristanak za dijeljenje osobnih podataka s voditeljem obrade kako bi se njihovi komentari uzeli u obzir. Međutim, to nije dovoljno da predstavlja informirani pristanak za pseudonimizaciju podataka i njihov prijenos Deloitteu bez prethodne informacije u tom pogledu od SRB-a.
Obveza pružanja informacije primjenjuje se u ovom slučaju prije prijenosa spornih podataka i bez obzira na to jesu li to osobni podaci u posjedu Deloittea kao primatelja.
Stoga pitanje predstavljaju li podaci u posjedu Deloittea osobne podatke ili ne, u konačnici se ne čini bitnim u odnosu na obvezu SRB-a na pružanje informacije o obradi.
Slijedom toga, obveza pružanja obavijesti, koju ima SRB kao voditelj obrade, u ovom je slučaju morala biti ispoštovana te se pobijana presuda zbog toga mora ukinuti zbog pogreške u primjeni prava.
Budući da gledište primatelja spornih podataka nije relevantno za obvezu pružanja informacija utvrđenu člankom 15. stavkom 1. točkom (d) Uredbe 2018/1725, argumenti stranaka koji se odnose na mogućnost da Deloitte identificira, zakonitim i praktično izvedivim sredstvima, ispitanike su neučinkoviti i stoga ih nema potrebe ispitivati.
Zaključak Općeg suda je da Deloitte nije imao pristup identifikacijskim podacima što EDPS osporava te se osobito poziva na navodni ugovorni odnos koji se temelji na podugovaranju voditelja obrade i izvršitelja obrade između SRB-a i Deloittea. SRB i Komisija tvrde da time EDPS iznosi nove činjenične navode koji su nedopušteni u žalbenoj fazi. Postojanje ugovornog odnosa između SRB-a i Deloittea, koji bi pokazao da je Deloitte mogao tražiti od SRB-a da identificira tužitelje, predstavlja novu liniju argumenta o kojoj, osim toga, Opći sud ni na koji način nije presudio. Slijedi da bi tu tvrdnju trebalo, ako je potrebno, odbaciti kao nedopuštenu prema drugoj rečenici članka 170. stavka 1. Poslovnika Suda, prema kojoj se u žalbi ne može mijenjati predmet postupka pred Općim sudom.
Ostaje nam svima čekati...
