4 września 2025 roku zapadł wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE), dotyczący pseudonimizacji danych osobowych. TSUE orzekł w tej sprawie, że – w określonych sytuacjach – dane odpowiednio spseudonimizowane, a następnie przekazane przez administratora innemu podmiotowi, mogą stracić charakter danych osobowych. Oznacza to, że takie dane przestają być objęte reżimem prawa ochrony danych osobowych, co może mieć doniosłe konsekwencje, w szczególności dla podmiotów, które pozyskują takie dane.
Charakter sprawy
W przeciwieństwie do większości głośnych orzeczeń TSUE, wyrok w tej sprawie nie stanowił odpowiedzi na pytania prejudycjalne zadane przez sąd odsyłający. W ramach tego postępowania, TSUE zajmował się bowiem odwołaniem od wyroku Sądu Unii Europejskiej. W tej sprawie TSUE rozstrzygał spór rozgrywający się między instytucjami Unii Europejskiej – Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB), popierana przez Komisję Europejską, zaskarżała decyzję Europejskiego Inspektora Ochrony Danych (EIOD) popieranego przez Europejską Radę Ochrony Danych (EROD).
Decyzja EIOD została wydana w związku z przyjętym przez SRB programem restrukturyzacji i uporządkowanej likwidacji jednego z hiszpańskich banków, zatwierdzonym potem przez Komisję Europejska. Zarzewiem konfliktu była wycena zlecona przez SRB spółce audytorskiej. Wraz z prośbą o wycenę, spółce audytorskiej zostały przekazane spseudonimizowane opinie i komentarze akcjonariuszy i wierzycieli. To z kolei stało się podstawą pięciu skarg wniesionych do EIOD.
Rozporządzenie 2018/1725 a RODO
Warto zwrócić uwagę, że postępowanie nie dotyczyło wprost interpretacji przepisów RODO, zaś rozporządzenia 2018/1725 regulującego przetwarzanie danych przez organy i instytucje UE. Na pierwszy rzut oka mogłoby się zatem wydawać, że wyrok nie będzie miał wielkiego znaczenia w kontekście RODO. Jednakże, w samym orzeczeniu, Trybunał wypowiada się następująco:
…w każdym przypadku, w którym przepisy niniejszego rozporządzenia opierają się na tych samych założeniach, co przepisy (…) (Dz.U. 2016, L 119, s. 1, zwanego dalej »RODO«), przepisy obu aktów należy interpretować tak samo, w szczególności ze względu na fakt, że systematyka niniejszego rozporządzenia powinna być uznawana za tożsamą z systematyką rozporządzenia (UE) 2016/679.
Na wstępie należy zauważyć, że definicja pojęcia „danych osobowych” zawarta w art. 3 pkt 1 rozporządzenia 2018/1725 jest zasadniczo identyczna z definicją zawartą w art. 4 pkt 1 RODO.
Trybunał również wielokrotnie odwołuje się w swoim wyroku do orzecznictwa odnoszącego się do RODO. Potwierdza przy tym, że wykładnia pojęcia „danych osobowych” w przypadku obu aktów prawnych powinna być taka sama. Wydaje się więc, że rozważania TSUE zawarte w wyroku mogą zostać odpowiednio zastosowane również w zakresie wykładni przepisów RODO.
Pseudonimizacja
Najważniejszy i najbardziej interesujący element wyroku, stanowiło stanowisko TSUE dotyczące charakteru danych, które zostały spseudonimizowane. TSUE zwrócił uwagę, że jedną z podstawowych, konstrukcyjnych elementów definicji danych osobowych, jest powiązanie ich z osobą fizyczną. W sytuacji, w której dane zostaną spseudonimizowane przez administratora, a następnie przekazane podmiotowi trzeciemu w sposób, który całkowicie uniemożliwia mu identyfikację osób, których dane dotyczą, dane te – zdaniem TSUE – nie powinny być traktowane jak dane osobowe z punktu widzenia podmiotu trzeciego. Oznacza to, że, dla podmiotów, które nie dysponują dodatkowymi informacjami pozwalającymi na „odwrócenie pseudonimizacji”, dane te tracą charakter danych osobowych.
Nie oznacza to jednak, że dane spseudonimizowane zawsze będą tracić charakter danych osobowych. Kluczowa jest możliwość, czy raczej brak możliwości, identyfikacji konkretnej osoby. TSUE uznał w tej sprawie, że prowadząca wycenę spółka audytorska nie dysponowała taką możliwością. Wyrok TSUE przede wszystkim wskazuje na względność i subiektywność pojęcia „danych osobowych”, podkreślając, że te same dane z perspektywy jednego podmiotu mogą mieć status danych osobowych – z perspektywy innego, nie.
