Η Ψευδωνυμοποίηση δεν αρκεί: Τι μας διδάσκει η νέα απόφαση του Δικαστηρίου της ΕΕ

1. Εισαγωγή

Το Δικαστήριο της Ευρωπαϊκής Ένωσης (εφεξής «ΔΕΕ») εξέδωσε σημαντική απόφαση επί του δικαίου προστασίας προσωπικών δεδομένων που θα αναμορφώσει τον τρόπο με τον οποίο οι οργανισμοί προσεγγίζουν την ψευδωνυμοποίηση και τις υποχρεώσεις ενημέρωσης υπό το ευρωπαϊκό πλαίσιο προστασίας δεδομένων (εφεξής η «Απόφαση»).

Στην υπόθεση C-413/23 P (EDPS κατά SRB), που εκδόθηκε στις 4 Σεπτεμβρίου 2025, το ΔΕΕ ακύρωσε απόφαση του Γενικού Δικαστηρίου[1] και καθόρισε σημαντικές αρχές για την έννοια των προσωπικών δεδομένων και τον ρόλο της ψευδωνυμοποίησης.

Η υπόθεση προέκυψε από την εξυγίανση του 2017 της Banco Popular Español, όπου οι επηρεαζόμενοι μέτοχοι και πιστωτές συμμετείχαν σε διαδικασία «δικαιώματος ακρόασης». Όταν το Ενιαίο Συμβούλιο Εξυγίανσης (SRB) κοινοποίησε ψευδωνυμοποιημένα σχόλια από αυτή τη διαδικασία στον εξωτερικό ελεγκτή Deloitte, προέκυψαν καταγγελίες για προστασία δεδομένων που τελικά έφτασαν στο ανώτατο δικαστήριο της ΕΕ.

2. Το Νομικό πλαίσιο και οι βασικές διαφορές

2.1. Ορισμός των προσωπικών δεδομένων στην ψηφιακή εποχή

Η κεντρική διαφορά περιστράφηκε γύρω από το άρθρο 3 παρ. 1 του Κανονισμού 2018/1725 (εφεξής «EUDPR»), το οποίο ορίζει τα «προσωπικά δεδομένα» ως «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο»[2].

Το Γενικό Δικαστήριο είχε προηγουμένως κρίνει ότι ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (εφεξής «ΕΕΠΔ» ή «EDPS») εσφαλμένα κατέταξε τα σχόλια που κοινοποιήθηκαν στη Deloitte ως προσωπικά δεδομένα, υποστηρίζοντας ότι δεν είχε διενεργηθεί επαρκής ανάλυση σχετικά με το περιεχόμενο, τον σκοπό και το αποτέλεσμά τους.

Το ΔΕΕ διαφώνησε θεμελιωδώς με αυτή την προσέγγιση. Καθιερώνοντας μια κρίσιμη αρχή, το Δικαστήριο έκρινε ότι οι πληροφορίες αφορούν ταυτοποιήσιμο φυσικό πρόσωπο όταν, λόγω του περιεχομένου, του σκοπού ή του αποτελέσματός τους, συνδέονται με ταυτοποιήσιμο πρόσωπο[3].

Ωστόσο, το ΔΕΕ προχώρησε περαιτέρω, αναγνωρίζοντας ότι οι υποκειμενικές εκφράσεις όπως προσωπικές απόψεις ή γνώμες, ως εκφράσεις της σκέψης ενός προσώπου, συνδέονται αναγκαστικά στενά με εκείνο το πρόσωπο και δεν απαιτείται περαιτέρω ανάλυση του περιεχομένου [4].

Αυτή η απόφαση ενδέχεται να μειώσει σημαντικά το βάρος για τις Αρχές Προστασίας Δεδομένων όταν αντιμετωπίζουν υποκειμενικές πληροφορίες όπως σχόλια, απόψεις ή αξιολογήσεις, καθιερώνοντας ότι ο εγγενώς προσωπικός τους χαρακτήρας πρέπει να αναγνωρίζεται χωρίς εκτενή ανάλυση περιεχομένου.

2.2. Ψευδωνυμοποίηση: Μέτρο προστασίας, όχι νομική μετατροπή

Το ΔΕΕ ανέλυσε την όλο και πιο σημαντική τεχνική της ψευδωνυμοποίησης με αξιοσημείωτη λεπτότητα. Ενώ επιβεβαίωσε ότι η ψευδωνυμοποίηση μπορεί να επηρεάσει το κατά πόσον τα δεδομένα είναι προσωπικά κατά την έννοια του άρθρου 3 παρ. 1 EUDPR[5], ξεκαθάρισε ότι δεν ισοδυναμεί με ανωνυμοποίηση. Η Απόφαση καθιερώνει ότι αυτό εξαρτάται εξ ολοκλήρου από τις συγκεκριμένες περιστάσεις και την οπτική γωνία διαφορετικών εκτελούντων την επεξεργασία.

Το ΔΕΕ απέρριψε το επιχείρημα του EDPS ότι τα ψευδωνυμοποιημένα δεδομένα θα πρέπει πάντα να θεωρούνται προσωπικά δεδομένα απλώς επειδή υπάρχουν πληροφορίες ταυτοποίησης κάπου. Αντίθετα, επιβεβαίωσε ότι αποτελεσματικά μέτρα ψευδωνυμοποίησης μπορούν να καταστήσουν τα δεδομένα μη προσωπικά για συγκεκριμένους αποδέκτες, υπό την προϋπόθεση ότι δεν μπορούν ευλόγως να ταυτοποιήσουν τα υποκείμενα των δεδομένων μέσω διαθέσιμων μέσων.

Αυτή η συμφραζόμενη προσέγγιση σημαίνει ότι το ίδιο σύνολο δεδομένων θα μπορούσε ταυτόχρονα να είναι προσωπικά δεδομένα για τον αρχικό υπεύθυνο επεξεργασίας (που διατηρεί κλειδιά ταυτοποίησης) και μη προσωπικά δεδομένα για παραλήπτες που στερούνται ευλόγων μέσων ταυτοποίησης.

2.3. Υποχρεώσεις ενημέρωσης: Υπερισχύει η οπτική του Υπευθύνου Επεξεργασίας

Ίσως η πιο πρακτικά σημαντική πτυχή της απόφασης αφορά τις υποχρεώσεις διαφάνειας υπό το άρθρο 15 παρ. 1 στοιχ. δ’ EUDPR. Το ΔΕΕ διευκρίνισε ότι αναφορικά με την υποχρέωση ενημέρωσης, η ταυτοποιήσιμη φύση του υποκειμένου των δεδομένων πρέπει να αξιολογείται κατά τον χρόνο συλλογής της πληροφορίας που τον αφορά από την οπτική του υπευθύνου επεξεργασίας[6].

Αυτό επιλύει ένα κρίσιμο ερώτημα σε ό, τι αφορά τον χρόνο: Οι υπεύθυνοι επεξεργασίας δεν μπορούν να αποφύγουν τις υποχρεώσεις διαφάνειας υποστηρίζοντας ότι τα δεδομένα γίνονται μη προσωπικά μετά την ψευδωνυμοποίηση για τους αποδέκτες. Με λίγα λόγια, εάν ο υπεύθυνος επεξεργασίας, κατά τον χρόνο συλλογής, μπορεί να ταυτοποιήσει το υποκείμενο των δεδομένων, πρέπει να το ενημερώσει ασχέτως των τεχνικών μέτρων που θα εφαρμόσει στην πληροφορία μεταηγενέστερα.

3. Πρακτικές επιπτώσεις για τη νομική πρακτική

3.1. Για τους Υπευθύνους Επεξεργασίας Δεδομένων

Η Απόφαση παρέχει σημαντική διευκρίνιση για οργανισμούς που χειρίζονται προσωπικά δεδομένα:

Ενισχυμένες απαιτήσεις διαφάνειας: Οι υπεύθυνοι επεξεργασίας πρέπει να γνωστοποιούν όλους τους πιθανούς αποδέκτες στα ενημερωτικά σημειώματα προστασίας δεδομένων τους, ακόμη και αν αυτά τα δεδομένα θα ψευδωνυμοποιηθούν πριν την διαβίβαση. Η μεταγενέστερη αδυναμία του παραλήπτη να ταυτοποιήσει τα φυσικά πρόσωπα δεν απαλλάσσει τον υπεύθυνο επεξεργασίας από αυτή την υποχρέωση.

Στρατηγική ψευδωνυμοποίησης: Ενώ η ψευδωνυμοποίηση παραμένει ένα σημαντικό τεχνικό μέτρο ενίσχυσης της εμπιστευτικότητας, οι υπεύθυνοι επεξεργασίας δεν πρέπει να υποθέτουν ότι αυτόματα αφαιρεί τις υποχρεώσεις προστασίας δεδομένων. Η αποτελεσματικότητα της τεχνικής εξαρτάται από τις λεπτομέρειες υλοποίησης και τις δυνατότητες των παραληπτών.

Χειρισμός απόψεων και σχολίων: Οι οργανισμοί που συλλέγουν υποκειμενικές πληροφορίες—έρευνες, σχόλια, παράπονα ή απαντήσεις διαβουλεύσεων—πρέπει να υποθέτουν ότι αυτό συνιστά προσωπικά δεδομένα χωρίς να απαιτείται εκτενής ανάλυση περιεχομένου.

Αξιολόγηση κινδύνου: Πριν μια κοινοποίηση/διαβίβαση δεδομένων θα πρέπει να αξιολογείται η αποτελεσματικότητα της ψευδωνυμοποίησης από την οπτική κάθε αποδέκτη, λαμβάνοντας υπόψη τις τεχνικές τους δυνατότητες και την πρόσβαση σε συμπληρωματικές πληροφορίες ταυτοποίησης.

Χρόνος συμμόρφωσης: Οι αξιολογήσεις επιπτώσεων στην εμπιστευτικότητα μιας πληροφορίας και οι επισκοπήσεις συμμόρφωσης πρέπει να εστιάζουν στη θέση του υπευθύνου επεξεργασίας κατά τη συλλογή δεδομένων, όχι σε σενάρια μετά τη διαβίβαση που αφορούν ψευδωνυμοποιημένα δεδομένα.

Διασυνοριακές διαβιβάσεις: Η λογική της απόφασης μπορεί να επηρεάσει τον τρόπο αξιολόγησης των αποφάσεων επάρκειας και των διεθνών διαβιβάσεων, ιδιαίτερα όπου η ψευδωνυμοποίηση χρησιμοποιείται ως μέτρο διασφάλισης. Συνιστάται η επαναξιολόγηση τυχόν Εκτιμήσεων Αντικτύπου Διαβιβάσεων (TIA).

3.2. Για τραπεζικές και χρηματοπιστωτικές υπηρεσίες

Δεδομένης της προέλευσης της υπόθεσης από διαδικασίες τραπεζικής εξυγίανσης, τα χρηματοπιστωτικά ιδρύματα πρέπει να σημειώσουν:

Κανονιστική αναφορά: Όταν κοινοποιούν δεδομένα σε εποπτικές αρχές, ελεγκτές ή αρχές εξυγίανσης, οι ολοκληρωμένες δηλώσεις απορρήτου πρέπει να ταυτοποιούν αυτούς τους πιθανούς παραλήπτες, ανεξάρτητα από την προγραμματισμένη ψευδωνυμοποίηση.

Επικοινωνία με πελάτες: Τα τυποποιημένα ενημερωτικά σημειώματα προστασίας δεδομένων μπορεί να χρειάζονται ενημέρωση για να αντικατοπτρίζουν την ευρεία ερμηνεία των προσωπικών δεδομένων και των υποχρεώσεων γνωστοποίησης αποδεκτών.

Διαδικασίες δέουσας επιμέλειας: Όταν εμπλέκουν τρίτους για ανάλυση δεδομένων, τα χρηματοπιστωτικά ιδρύματα πρέπει να αξιολογούν τις δυνατότητες ταυτοποίησής των φυσικών προσώπων για να καθορίσουν κατά πόσον η ψευδωνυμοποίηση αποτελεσματικά καθιστά τα δεδομένα μη ταυτοποιήσιμα και ακολούθως δεν εντάσσονται στον ορισμό των προσωπικών δεδομένων.

4. Συμπέρασμα και στρατηγικές κατευθύνσεις

Αυτή η απόφαση - ορόσημο επιβεβαιώνει συγκεκριμένα συμπεράσματα, αναφορικά με το δίκαιο προστασίας δεδομένων. Συγκεκριμένα:

Πρώτον, το πεδίο εφαρμογής των προσωπικών δεδομένων εν γένει είναι ιδιαιτέρως ευρύ και επηρεάζεται και από υποκειμενικές πληροφορίες που εκφράζουν ατομικές σκέψεις ή απόψεις. Με την (σχεδόν αυτόματη) κατάταξη των υποκειμενικών απόψεων ως προσωπικών δεδομένων, στο αυστηρό πεδίο εφαρμογής συμμόρφωσης θα εντάσσονται περιπτώσεις συλλογής σχολίων, ερωτηματολογίων ή διάδρασης (feedback), ακόμη και σε περιπτώσεις όπου η σύνδεση με το πρόσωπο δεν είναι προφανής.

Δεύτερον, η ψευδωνυμοποίηση παραμένει χρήσιμη. Ωστόσο, η αποτελεσματικότητά της στην αφαίρεση της κατάστασης προσωπικών δεδομένων εξαρτάται από συμφραζόμενους παράγοντες, ιδιαίτερα τα ευλόγως μέσα ταυτοποίησης του παραλήπτη. Αυτή η «σχετικοποίηση» της έννοιας της ψευδωνυμοποίησης, ανάλογα με τα τεχνικά μέσα του αποδέκτη, παρέχει ευελιξία αλλά και αβεβαιότητα. Ενώ επιτρέπει μια ρεαλιστική αξιολόγηση του κινδύνου ταυτοποίησης, μπορεί να δυσκολέψει τους οργανισμούς να προβλέψουν εκ των προτέρων πότε τα δεδομένα θα θεωρηθούν προσωπικά, ιδίως σε περιβάλλοντα με πολλούς και διαφορετικούς αποδέκτες.

Τρίτον, οι υποχρεώσεις διαφάνειας διαμορφώνονται κατά τη συλλογή δεδομένων βάσει της οπτικής του υπευθύνου επεξεργασίας. Οι οργανισμοί δεν μπορούν να αναβάλλουν ή να αποφύγουν αυτές τις υποχρεώσεις βάσει μεταγενέστερων περιορισμών επεξεργασίας που επηρεάζουν τρίτους. Αυτό σημαίνει ότι απαιτείται λεπτομερής και διαρκής ενημέρωση των ενημερωτικών σημειωμάτων προστασίας δεδομένων από τους οργανισμούς προσθέτοντας αποδέκτες ή/και εκτελούντες.

Σημειώνεται ότι το ΔΕΕ, επανέλαβε ότι ο ορισμός του προσωπικού δεδομένου στον EUDPR πρέπει να ερμηνεύεται σε πλήρη αρμονία με τον αντίστοιχο του GDPR, ενισχύοντας τη συνοχή του ευρωπαϊκού δικαίου προστασίας δεδομένων

Εν γένει συνιστάται οι υπεύθυνοι επεξεργασίας, να επανεξετάσουν τα υπάρχοντα ενημερωτικά σημειώματα προστασίας δεδομένων καθώς και τα συμφωνητικά επεξεργασίας δεδομένων (DPAs) υπό το πρίσμα αυτών των αρχών. Ιδιαίτερη προσοχή θα πρέπει να δοθεί σε διαδικασίες διαβούλευσης, μηχανισμούς σχολίων και οποιεσδήποτε ρυθμίσεις που αφορούν μεταφορές ψευδωνυμοποιημένων δεδομένων.

Η προσέγγιση του ΔΕΕ αντικατοπτρίζει τη δέσμευση της ΕΕ για ευρεία κάλυψη προστασίας δεδομένων ενώ αναγνωρίζει ότι οι τεχνολογίες ενίσχυσης του απορρήτου μπορούν να παρέχουν ουσιαστική προστασία όταν υλοποιούνται σωστά. Καθώς η ψευδωνυμοποίηση και άλλες τεχνικά μέτρα συνεχίζουν να εξελίσσονται, αυτή η απόφαση παρέχει ένα πλαίσιο για την αξιολόγηση της νομικής τους σημασίας που εξισορροπεί τα πρακτικά οφέλη απορρήτου με τα θεμελιώδη δικαιώματα διαφάνειας.

Για οργανισμούς που λειτουργούν σε πολλές δικαιοδοσίες, αυτή η απόφαση ενισχύει τη σημασία της υιοθέτησης της πιο προστατευτικής προσέγγισης κατά το σχεδιασμό παγκόσμιων προγραμμάτων συμμόρφωσης απορρήτου, διασφαλίζοντας ότι τα πρότυπα της ΕΕ τηρούνται ανεξάρτητα από τοπικές διαφοροποιήσεις στο δίκαιο προστασίας δεδομένων.

[1] Γενικό Δικαστήριο, SRB v EDPS, T‑557/20, 26 Απριλίου 2023

[2] Κανονισμός (ΕΕ) 2018/1725, άρθρο 3 παρ.1

[3] ΔΕΕ, EDPS v SRB, C-413/23 P, 4 Σεπτεμβρίου 2025, αιτ. σκέψη 55

[4] ΔΕΕ, EDPS v SRB, C-413/23 P, 4 Σεπτεμβρίου 2025, αιτ. σκέψη 58

[5] ΔΕΕ, EDPS v SRB, C-413/23 P, 4 Σεπτεμβρίου 2025, αιτ. σκέψη 75

[6] ΔΕΕ, EDPS v SRB, C-413/23 P, 4 Σεπτεμβρίου 2025, αιτ. σκέψη 111