Evropski sud pravde („ESP“) doneo je presudu koja pojašnjava kada se pseudonimizovani podaci smatraju podacima o ličnosti u smislu Opšte uredbe o zaštiti podataka (General Data Protection Regulation – „GDPR“). U postupku pokrenutom po žalbi Evropskog nadzornog organa za zaštitu podataka (European Data Protection Board „EDPS“), ESP je razmatrao kriterijume na osnovu kojih se pseudonimizovane informacije mogu i dalje smatrati podacima o ličnosti, posebno u kontekstu njihovog prenosa trećim stranama. Presuda donosi važne smernice za rukovaoce podacima u pogledu obaveza koje imaju prilikom deljenja pseudonimizovanih podataka.

 Postupak pred nižestepenim sudovima EU

 Spor je započeo 2017. godine, kada je Jedinstveni odbor za restrukturiranje (Single Resolution Board – „SRB“) u okviru postupka restrukturiranja kompanije omogućio poveriocima i akcionarima da dostave komentare na preliminarnu odluku. Te komentare je SRB, u pseudonimizovanom obliku, preneo revizorskoj kući radi procene efekata postupka restrukturiranja.

EDPS je 2020. godine utvrdio da je SRB, prenoseći te komentare trećoj strani, obrađivao podatke o ličnosti bez adekvatnog obaveštavanja lica na koja se podaci odnose. Međutim, Opšti sud Evropske unije (General Court of the European Union) poništio je ovu odluku, ocenivši da su komentari bili dovoljno anonimizovani da se ne mogu povezati sa pojedincima, kao i da EDPS nije razmotrio sadržinu samih komentara kako bi utvrdio da li oni sadrže podatke o ličnosti.

EDPS je izjavio žalbu protiv ove odluke, nakon čega je predmet dospeo pred ESP.

Presuda ESP

 Razmatrajući navode iz žalbe, ESP je ocenio da sadržina pseudonimizovanih komentara poverilaca može predstavljati podatke o ličnosti ukoliko je na osnovu njihovog sadržaja moguće izvesti zaključke o identitetu lica na koje se odnose podaci. Sud je naglasio da se ocena da li određena informacija predstavlja podatak o ličnosti ne zasniva samo na tehničkom nivou tzv. „deidentifikacije“, već i na tome da li je, u konkretnim okolnostima, moguće ponovo identifikovati lice na osnovu sadržine podataka.

ESP je utvrdio da se rizik ponovne identifikacije mora procenjivati u trenutku prikupljanja i obrade podataka, uzimajući u obzir sve dostupne informacije. Time je istaknuto da pseudonimizacija ne isključuje automatski primenu GDPR-a, već da se radi o relativnom konceptu koji zavisi od toga da li lice koje obrađuje podatke raspolaže informacijama na osnovu kojih je moguće ponovo identifikovati lice na koje se podaci odnose.

Istovremeno, ESP je potvrdio da pseudonimizovani podaci ne moraju uvek predstavljati podatke o ličnosti za svako lice koje ih obrađuje. Ukoliko je pseudonimizacija sprovedena na način koji efektivno sprečava treće strane da identifikuju lice, ti podaci se u odnosu na te treće strane mogu smatrati podacima koji ne potpadaju pod GDPR. Time je napravljen jasan kriterijum između rukovaoca koji raspolaže informacijama koje omogućavaju povezivanje podataka sa određenim licem i trećih strana koje takvim informacijama ne raspolažu.

Značaj presude za tumačenje pseudonimizacije u praksi EU i Srbije

 Presuda ESP pruža važne smernice za primenu pseudonimizacije u praksi, potvrđujući da se pseudonimizovani podaci ne mogu posmatrati odvojeno od konteksta obrade. Sud naglašava da se mora proceniti da li je lice i dalje identifikovano ili identifikovljivo na osnovu sadržine podataka ili dostupnih informacija, što u značajnoj meri utiče na obaveze rukovalaca prilikom prenosa takvih podataka trećim stranama. Time se postavlja viši standard procene rizika ponovne identifikacije, koji rukovaoci moraju sprovesti već u trenutku prikupljanja podataka.

Iako presuda prvenstveno utiče na praksu institucija EU, njeni zaključci imaju širi značaj jer potvrđuju visoku zaštitu koju GDPR pruža u pogledu pseudonimizacije. Za države članice EU, odluka predstavlja podsetnik da pseudonimizovani podaci često zadržavaju status podataka o ličnosti, posebno kada je sadržina podataka takva da omogućava izvođenje zaključaka o identitetu lica.

Kada je reč o Srbiji, imajući u vidu da domaće zakonodavstvo prati evropske standarde, može se očekivati da će se pristup potvrđen ovom presudom primenjivati i u našoj praksi. Ovo je posebno značajno za sektore u kojima se pseudonimizacija često koristi, poput finansijskih usluga, telekomunikacija, zdravstva i digitalnih platformi, gde će biti neophodno pažljivo procenjivati mogućnost ponovne identifikacije i zakonitost prenosa podataka.

Presuda ESP potvrđuje da pseudonimizacija može doprineti zaštiti podataka, ali sama po sebi ne isključuje primenu GDPR-a. Da li se pseudonimizovani podaci i dalje smatraju podacima o ličnosti zavisi od konteksta, sadržine podataka i mogućnosti ponovne identifikacije. Presuda ESP na ovaj način postavlja temelje za jasnije i stabilnije tumačenje ovog pitanja u praksi EU i, posredno, Srbije.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.