Súdny dvor EÚ upresnil pojem „osobné údaje“ pri prenose pseudonymizovaných údajov tretím stranám
Súdny dvor Európskej únie (SD EÚ) v rozhodnutí zo 4. septembra 2025 rozhodujúcom v konaní C-413/23 P potvrdil zásadné právne východiská pri posudzovaní, kedy ide o „osobné údaje“ v súvislosti s ich prenosom tretím stranám za účelom ďalšieho spracovania. SD EÚ zrušil rozsudok Všeobecného súdu, ktorým bol čiastočne napadnutý postup Európskeho dozorného úradníka pre ochranu údajov (EDPS).
Kontext prípadu
Riešený spor sa týkal prenosu pripomienok bývalých akcionárov banky Banco Popular z Jednotnej rady pre riešenie krízových situácií (SRB) na externú spoločnosť Deloitte. SRB sa opierala o skutočnosť, že údaje boli pred prenosom pseudonymizované a že preto prijímateľ údajov nemôže identifikovať konkrétne osoby. Niekoľkí dotknutí podali sťažnosť na EDPS pre neinformovanie o prenose; EDPS zistil porušenie informačnej povinnosti podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725. Všeobecný súd následne toto rozhodnutie čiastočne zrušil; SD EÚ však zrušil rozsudok Všeobecného súdu a obnovil právne zistenia EDPS v relevantných bodoch.
Kľúčové body rozhodnutia ktoré vyplývajú z rozsudku SD EÚ:
SD EÚ v bode 60 svojho rozsudku potvrdil, že vyjadrenie osobného názoru je samo o sebe osobným údajom. Súd zdôraznil, že názor je tak úzko spätý s osobou, ktorá ho vyjadrila, že na jeho klasifikáciu ako osobného údaja nie je potrebné ďalej skúmať jeho obsah, účel či účinky.
SD EÚ ďalej potvrdil, že pseudonymizované údaje nemožno automaticky a za každých okolností považovať za osobné údaje. Ako SD EÚ konštatuje vo svojom závere v bode 86, pseudonymizácia môže v závislosti od okolností prípadu účinne zabrániť tomu, aby iné osoby než pôvodný prevádzkovateľ dotknutú osobu identifikovali. Z pohľadu takejto tretej strany (príjemcu) teda už daná osoba nemusí byť identifikovateľná.
Napokon, SD EÚ označil za pochybenie Všeobecného súdu jeho tvrdenie, že sa malo skúmať, či sú údaje osobné z pohľadu príjemcu (spoločnosti Deloitte). V bode 111 rozsudku SD EÚ skonštatoval, že identifikovateľnosť osoby sa musí posudzovať z pohľadu prevádzkovateľa (SRB) a už v momente zberu údajov. Ako sa uvádza v bode 115, povinnosť SRB informovať o prenose teda existovala od začiatku, bez ohľadu na neskoršiu pseudonymizáciu.
Rozhodnutie je dostupné v anglickom jazyku na tomto odkaze: