Διαβίβαση ψευδωνυμοποιημένων δεδομένων σε τρίτους: Το ΔΕΕ διευκρινίζει το πεδίο εφαρμογής της έννοιας των δεδομένων προσωπικού χαρακτήρα
Διαδικασία αποζημίωσης των μετόχων και πιστωτών τραπεζικού ιδρύματος που τέθηκε σε καθεστώς εξυγίανσης – Υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων – Έννοια των “δεδομένων προσωπικού χαρακτήρα” – Έννοια της “ψευδωνυμοποίησης”
Επιμέλεια: Γεώργιος Π. Κανέλλος
Με τη δημοσιευθείσα στις 04.09.2025 απόφασή του, το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) διευκρινίζει το πεδίο εφαρμογής της έννοιας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της διαβίβασης ψευδωνυμοποιημένων δεδομένων σε τρίτους.
Ειδικότερα, το ΔΕΕ αναιρεί την απόφαση του Γενικού Δικαστηρίου που είχε ακυρώσει την απόφαση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.
Ιστορικό της υπόθεσης
Μετά την εξυγίανση της Banco Popular Español, στις 7 Ιουνίου 2017, το Ενιαίο Συμβούλιο Εξυγίανσης (ΕΣΕ) εξέδωσε προκαταρκτική απόφαση σχετικά με το αν ήταν απαραίτητο να χορηγηθεί αποζημίωση στους πρώην μετόχους και πιστωτές της εν λόγω τράπεζας ως αποτέλεσμα της εν λόγω εξυγίανσης. Δεδομένου ότι η απόφαση αυτή εκδόθηκε χωρίς προηγούμενη ακρόαση των εν λόγω προσώπων, το ΕΣΕ κίνησε στη συνέχεια διαδικασία προκειμένου να τους δοθεί η δυνατότητα να υποβάλουν παρατηρήσεις σχετικά με την εν λόγω προκαταρκτική απόφαση. Στο πλαίσιο της διαδικασίας αυτής, το ΕΣΕ διαβίβασε ορισμένα από τα σχόλια αυτά, υπό μορφή ψευδωνυμοποιημένων δεδομένων στην ελεγκτική και συμβουλευτική εταιρία Deloitte, στην οποία το ΕΣΕ ανέθεσε την εκτίμηση των επιπτώσεων της διαδικασίας εξυγίανσης στους μετόχους και τους πιστωτές.
Ορισμένοι από τους επηρεαζόμενους μετόχους και πιστωτές υπέβαλαν καταγγελίες στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) ισχυριζόμενοι ότι το ΕΣΕ δεν τους είχε ενημερώσει ότι τα δεδομένα που τους αφορούσαν θα διαβιβάζονταν σε τρίτους, συγκεκριμένα στη Deloitte. Ο ΕΕΠΔ διαπίστωσε ότι, στην παρούσα υπόθεση, η Deloitte ήταν αποδέκτης των δεδομένων προσωπικού χαρακτήρα των καταγγελλόντων. Επιπλέον, διαπίστωσε ότι το ΕΣΕ είχε παραβιάσει την υποχρέωση παροχής πληροφοριών που προβλέπεται στον κανονισμό (ΕΕ) 2018/1725. Στη συνέχεια, το ΕΣΕ άσκησε προσφυγή ακύρωσης της απόφασης του ΕΕΠΔ ενώπιον του Γενικού Δικαστηρίου. Το Γενικό Δικαστήριο δέχθηκε εν μέρει την προσφυγή και ακύρωσε την εν λόγω απόφαση.
Απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης
Επιληφθέν κατόπιν άσκησης αιτήσεως αναιρέσεως που άσκησε ο ΕΕΠΔ, το Δικαστήριο αναιρεί την απόφαση του Γενικού Δικαστηρίου και αναπέμπει την υπόθεση σε αυτό.
Το Δικαστήριο κρίνει, καταρχάς, ότι το Γενικό Δικαστήριο υπέπεσε σε πλάνη περί το δίκαιο, κρίνοντας ότι ο ΕΕΠΔ, για να καταλήξει στο συμπέρασμα ότι οι πληροφορίες που προκύπτουν από τις διαβιβασθείσες στη Deloitte παρατηρήσεις «αφορούν», κατά την έννοια του κανονισμού (ΕΕ) 2018/1725, τα πρόσωπα που υπέβαλαν τις παρατηρήσεις αυτές, όφειλε να εξετάσει το περιεχόμενο, τον σκοπό ή τα αποτελέσματα των εν λόγω παρατηρήσεων, δεδομένου ότι δεν αμφισβητείται ότι οι παρατηρήσεις αυτές εξέφραζαν την προσωπική γνώμη ή άποψη των συντακτών τους. Σύμφωνα με το Δικαστήριο, η εκτίμηση αυτή του Γενικού Δικαστηρίου δεν λαμβάνει υπόψη την ιδιαίτερη φύση της προσωπικής γνώμης ή απόψεως η οποία, ως έκφραση της σκέψης ενός προσώπου, συνδέεται κατ’ ανάγκην στενά με το πρόσωπο αυτό.
Δεύτερον, το Δικαστήριο επιβεβαιώνει την κρίση του Γενικού Δικαστηρίου ως προς το ότι δεν πρέπει να θεωρείται ότι τα ψευδωνυμοποιημένα δεδομένα συνιστούν, σε κάθε περίπτωση και για κάθε πρόσωπο, δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της εφαρμογής του κανονισμού (ΕΕ) 2018/1725. Από τις διατάξεις του εν λόγω κανονισμού, όπως έχουν ερμηνευθεί νομολογιακά, προκύπτει ότι η ψευδωνυμοποίηση μπορεί, αναλόγως των περιστάσεων της συγκεκριμένης υπόθεσης, να αποτρέψει αποτελεσματικά την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων από άλλα πρόσωπα πλην του υπευθύνου επεξεργασίας, κατά τρόπο ώστε, για τα πρόσωπα αυτά, η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί. Στο πλαίσιο αυτό, το Δικαστήριο φροντίζει να υπενθυμίσει τις κατευθυντήριες γραμμές της νομολογίας του όσον αφορά την εκτίμηση του κατά πόσον το υποκείμενο των δεδομένων είναι ταυτοποιήσιμο σε περιπτώσεις στις οποίες οι πληροφορίες που επιτρέπουν την εξακρίβωση της ταυτότητάς του δεν βρίσκονται στην κατοχή άλλων προσώπων.
Τρίτον, το Δικαστήριο έκρινε ότι το Γενικό Δικαστήριο υπέπεσε σε πλάνη περί το δίκαιο, κρίνοντας ότι ο ΕΕΠΔ, προκειμένου να εκτιμήσει αν το ΕΣΕ είχε τηρήσει την υποχρέωση ενημέρωσης που υπέχει δυνάμει του του κανονισμού (ΕΕ) 2018/1725, όφειλε να εξετάσει αν οι παρατηρήσεις που διαβιβάστηκαν στη Deloitte συνιστούσαν, από τη σκοπιά της, δεδομένα προσωπικού χαρακτήρα. Σύμφωνα με το Δικαστήριο, από τη νομολογία προκύπτει σαφώς ότι η κρίσιμη οπτική γωνία για την εκτίμηση της δυνατότητας ταυτοποίησης του υποκειμένου των δεδομένων εξαρτάται κατ’ ουσίαν από τις περιστάσεις που χαρακτηρίζουν την επεξεργασία των δεδομένων σε κάθε συγκεκριμένη περίπτωση. Όσον αφορά την εν λόγω υποχρέωση ενημέρωσης, το Δικαστήριο σημειώνει ότι η υποχρέωση αυτή εντάσσεται στην έννομη σχέση που συνδέει το υποκείμενο των δεδομένων με τον υπεύθυνο επεξεργασίας και, ως εκ τούτου, έχει ως αντικείμενο τις πληροφορίες σε σχέση με το υποκείμενο των δεδομένων, όπως αυτές διαβιβάστηκαν στον υπεύθυνο επεξεργασίας, ήτοι πριν από οποιαδήποτε διαβίβαση σε τρίτο. Κατά συνέπεια, το Δικαστήριο κρίνει ότι η δυνατότητα ταυτοποίησης του υποκειμένου των δεδομένων πρέπει να εκτιμάται κατά τη συλλογή των δεδομένων και από τη σκοπιά του υπευθύνου επεξεργασίας. Η υποχρέωση ενημέρωσης που υπέχει το ΕΣΕ ίσχυε εν προκειμένω πριν από τη διαβίβαση των επίμαχων παρατηρήσεων και ανεξάρτητα από το αν αυτές ήταν ή δεν ήταν προσωπικού χαρακτήρα, από τη σκοπιά της Deloitte, μετά την ενδεχόμενη ψευδωνυμοποίησή τους.
Το πλήρες κείμενο της απόφασης είναι διαθέσιμο στην ιστοσελίδα CURIA
