Jak předávat pseudonymizované údaje třetím stranám
autoři: Mgr. Michal Nulíček, LL.M., FCIArb, Mgr. Filip Beneš
Soudní dvůr EU (SDEU) se ve věci C-413/23 zabýval povinnostmi správce při předávání pseudonymizovaných osobních údajů třetím stranám a výkladem pojmu osobní údaj. Případ vznikl poté, co centrální orgán bankovní unie (SRB) předal auditorské společnosti Deloitte odpovědi věřitelů a akcionářů španělské banky v pseudonymizované podobě. Několik akcionářů a věřitelů podalo stížnost k Evropskému inspektorovi ochrany údajů (EDPS) s tím, že došlo k porušení GDPR, jelikož o předání nebyli informováni.
SDEU potvrdil, že osobním údajem je jakákoli informace vztahující se k identifikované nebo identifikovatelné osobě. To platí i pro pseudonymizované údaje. Pokud totiž existuje možnost údaje zpětně propojit s konkrétní osobou, zůstávají osobními údaji a podléhají plné ochraně dle GDPR. Tak tomu ale nemusí být ve všech případech. V závislosti na okolnostech může pseudonymizace účinně zabránit třetím osobám (v tomto případě společnosti Deloitte) v identifikaci subjektů.
Nicméně co se týče informování o příjemcích, rozhodující je situace v okamžiku získání údajů správcem. Pokud správce má technické prostředky k identifikaci, vztahuje se na něj povinnost transparentně informovat subjekty údajů o příjemcích. Tuto povinnost nelze obejít tím, že třetí osoba (příjemce) nemá přímý přístup k identitě dotčených osob. SDEU proto dospěl k závěru, že identifikovatelnost subjektu údajů musí být posuzována v okamžiku získání údajů a výlučně z pohledu správce. (Více informací zde)
