ΔΕΕ C-413/23 P: Ψευδωνυμοποιημένα και Προσωπικά Δεδομένα

Απόφαση ΔΕΕ C-413/23 P για ψευδωνυμοποιημένα και προσωπικά δεδομένα βάσει GDPR

Απόφαση ΔΕΕ, υπόθεση EDPS κατά Single Resolution Board (C-413/23 P): Τα Ψευδωνυμοποιημένα Δεδομένα δεν Είναι Πάντα «Προσωπικά Δεδομένα»

Τι αλλάζει για επιχειρήσεις, οργανισμούς και επαγγελματίες που χειρίζονται δεδομένα στην ΕΕ

Μια απόφαση–ορόσημο για την εποχή των δεδομένων

Το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) εξέδωσε μια απόφαση που επαναπροσδιορίζει το τι θεωρείται «προσωπικό δεδομένο» υπό το GDPR.
Συγκεκριμένα, έκρινε ότι τα ψευδωνυμοποιημένα δεδομένα δεν είναι αυτόματα προσωπικά δεδομένα για όλους τους αποδέκτες· εξαρτάται από το αν ο αποδέκτης μπορεί ρεαλιστικά να επαναπροσδιορίσει την ταυτότητα των υποκειμένων των δεδομένων.

Η εξέλιξη αυτή έχει μεγάλη σημασία για εταιρείες, οργανισμούς και παρόχους υπηρεσιών που επεξεργάζονται δεδομένα για σκοπούς ανάλυσης, τεχνητής νοημοσύνης, εμπορικής αξιολόγησης ή βελτιστοποίησης υπηρεσιών.

Το υπόβαθρο της υπόθεσης

Η υπόθεση προέκυψε στο πλαίσιο της διάσωσης της Banco Popular Español το 2017.
Η Single Resolution Board (SRB), ευρωπαϊκή αρχή, ζήτησε από μετόχους και πιστωτές να υποβάλουν σχόλια. Οι απαντήσεις ψευδωνυμοποιήθηκαν — αφαιρέθηκαν τα ονόματα και αντικαταστάθηκαν με τυχαίους κωδικούς — και στη συνέχεια διαβιβάστηκαν σε εξωτερική συμβουλευτική εταιρεία.

Κάποιοι συμμετέχοντες κατήγγειλαν ότι δεν ενημερώθηκαν για τη διαβίβαση, υποστηρίζοντας παραβίαση των υποχρεώσεων διαφάνειας.
Ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (EDPS) έκρινε την SRB υπεύθυνη, όμως το Γενικό Δικαστήριο ακύρωσε την απόφαση θεωρώντας ότι τα δεδομένα είχαν καταστεί ανώνυμα. Η υπόθεση έφτασε στο ΔΕΕ, το οποίο εξέδωσε την τελική κρίση.

Τα βασικά σημεία της απόφασης του ΔΕΕ

α. Αξιολόγηση βάσει συμφραζομένων

Το Δικαστήριο έκρινε ότι η έννοια του «προσωπικού δεδομένου» πρέπει να εξετάζεται κατά περίπτωση.
Αν ο παραλήπτης δεν έχει ρεαλιστικά τα μέσα να ταυτοποιήσει τα πρόσωπα (π.χ. δεν έχει πρόσβαση σε συμπληρωματικά δεδομένα ή νομικά δεν του επιτρέπεται να τα αποκτήσει), τότε τα δεδομένα δεν είναι προσωπικά για αυτόν.

β. Η οπτική του αποδέκτη

Η αξιολόγηση γίνεται από την πλευρά του αποδέκτη — όχι του αρχικού υπεύθυνου επεξεργασίας.
Εάν ο αποδέκτης, λόγω τεχνικών ή νομικών περιορισμών, δεν μπορεί να επαναπροσδιορίσει τα άτομα, τότε το GDPR δεν εφαρμόζεται σε αυτό το σκέλος της επεξεργασίας.

γ. Όχι “λευκή επιταγή”

Το ΔΕΕ ξεκαθάρισε ότι δεν πρόκειται για γενική εξαίρεση.
Αν ο αποδέκτης έχει ή θα μπορούσε να αποκτήσει τα μέσα επαναταυτοποίησης, τα δεδομένα παραμένουν προσωπικά και υπόκεινται στο GDPR.

δ. Υποχρέωση διαφάνειας

Ο αρχικός υπεύθυνος επεξεργασίας (όπως η SRB) παραμένει υποχρεωμένος να ενημερώνει τα υποκείμενα των δεδομένων για κάθε διαβίβαση, ακόμη κι αν τα δεδομένα έχουν ψευδωνυμοποιηθεί.

ε. Τεκμηρίωση και επανεξέταση

Οι οργανισμοί πρέπει να τεκμηριώνουν τα μέτρα που εμποδίζουν την επαναταυτοποίηση και να επανεξετάζουν τακτικά την αποτελεσματικότητά τους, ειδικά όταν αλλάζουν οι τεχνολογίες ή οι βάσεις δεδομένων.

Επιπτώσεις για τις επιχειρήσεις και τους οργανισμούς

Η απόφαση δημιουργεί σημαντικά περιθώρια ευελιξίας στη χρήση δεδομένων:

  • Ανάλυση και AI: Επιτρέπει τη χρήση ψευδωνυμοποιημένων δεδομένων για εκπαίδευση μοντέλων ΤΝ ή ανάλυση, εφόσον δεν υπάρχει δυνατότητα επαναταυτοποίησης.

  • Μείωση ρυθμιστικού κόστους: Οι οργανισμοί μπορούν να μειώσουν τις υποχρεώσεις συμμόρφωσης όταν πληρούνται τα κριτήρια μη αναγνωρισιμότητας.

  • Ανάγκη για due diligence: Πρέπει να εξετάζεται κατά περίπτωση αν τα δεδομένα εξακολουθούν να θεωρούνται προσωπικά.

  • Συμβατικές ρήτρες: Οι συμφωνίες διαμοιρασμού δεδομένων χρειάζονται αναθεώρηση ώστε να ενσωματώνουν τη νέα νομολογιακή προσέγγιση.

Πρακτικές ενέργειες για συμμόρφωση και αξιοποίηση

  1. Επανεξετάστε τις πρακτικές διαμοιρασμού δεδομένων που βασίζονται σε ψευδωνυμοποίηση.

  2. Καταγράψτε τα τεχνικά και οργανωτικά μέτρα που εμποδίζουν την επαναταυτοποίηση.

  3. Αναθεωρήστε τα συμβόλαια και τις πολιτικές GDPR για να ενσωματώνουν τη νέα προσέγγιση του ΔΕΕ.

  4. Ενισχύστε τη διαφάνεια προς τα υποκείμενα των δεδομένων.

  5. Παρακολουθείτε τις εξελίξεις και τις οδηγίες εποπτικών αρχών για την εφαρμογή της απόφασης.

Συμπέρασμα – Προς ένα πιο ρεαλιστικό πλαίσιο GDPR

Η απόφαση του ΔΕΕ φέρνει ισορροπία ανάμεσα στην προστασία της ιδιωτικότητας και την καινοτομία.
Για τις επιχειρήσεις, σημαίνει ότι η ψευδωνυμοποίηση — όταν γίνεται σωστά και με τεκμηρίωση — μπορεί να αποτελέσει νόμιμο και ασφαλές εργαλείο για ανάλυση δεδομένων, ανάπτυξη τεχνολογίας και επιχειρηματική πρόοδο.

Η σωστή νομική καθοδήγηση παραμένει κρίσιμη, ώστε κάθε εταιρεία να αξιοποιεί τις νέες δυνατότητες χωρίς να υπερβαίνει τα όρια του GDPR.