Pseudonymizace osobních údajů

V dnešním světě založeném na datech, je právě ochrana osobních údajů a informací důležitější než kdykoliv dříve. S rozvojem umělé inteligence a způsobů jejího využití je stále silnější potřeba chránit i osobní údaje jednotlivců. Před zneužitím či únikem osobních údajů máme k dispozici několik způsobů ochrany. Jednou z vhodných technik, jak zabezpečit osobní údaje, může být pseudonymizace.

V polovině března 2025 skončila veřejná konzultace k návrhu pokynů o pseudonymizaci vydaných Evropským sborem pro ochranu osobních údajů. Tyto pokyny mají pomáhat správcům osobních údajů zvolit nejlepší metody, jak upravit původní data, chránit pseudonymizované údaje před neoprávněnou identifikací a účinně spravovat práva uživatelů při nakládání s pseudonymizovanými daty.

Pojem pseudonymizace podle GDPR

Samotná pseudonymizace je v evropském právním systému poprvé definovaná v  článku 4 bodu 5 obecného nařízení o ochraně osobních údajů (GDPR). Pseudonymizované údaje jsou takové údaje, které lze přiřadit fyzické osobě jen pomocí dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a podléhají technickým a organizačním opatřením pro jejich ochranu. Pseudonymizované údaje je stále nezbytné považovat za informace o identifikovatelné fyzické osobě, a proto se na ně uplatní GDPR.

Správci údajů mohou využít pseudonymizace k efektivnímu a cílenému snížení rizika, které si identifikovali v souvislosti s určitým způsobem zpracování osobních údajů. Při přesunu pseudonymizovaných dat například zpracovateli si správce zpravidla ponechává převodní klíč k původním osobním údajům. Zpracovatel nezná identifikátory subjektů údajů, a proto není přímo schopen znovu identifikovat fyzické osoby, které se za údaji skrývají (za předpokladu, že není k dispozici žádný jiný atribut, který by mohl vést k opětovné identifikaci).

Kdy zpracovatel dokáže identifikovat subjekt údajů?

Judikatura nechává zhodnocení této možnosti na samotných správcích. Při určování, zda je osoba „identifikovatelná“, by se nemělo přihlédnout pouze k identifikátorům, které jsou v rukách správce pseudonymizovaných osobních údajů, ale ke všem možným údajům, které lze použít pro přímou či nepřímou identifikaci dané fyzické osoby, a to jak v rukách správce, tak jiné osoby (viz rozsudek Soudního dvora EU v kauze Breyer, C 582/14). Musí se však přihlédnout k možným technickým prostředkům, o nichž lze rozumně předpokládat, že je má daná strana, například zpracovatel, k dispozici, jejím časovým možnostem a financím, které může racionálně využít pro zpětnou identifikaci subjektu údajů (viz odůvodnění 26 GDPR).

V tomto kontextu je zajímavý spor unijního úřadu Jednotný výbor pro řešení krizí (SRB) a Evropského inspektora ochrany údajů (EDPS).

SRB měl na starosti krizové řízení Banco Popular Espanol v roce 2017. V roce 2018 požádal SRB společnost Deloitte jako nezávislého hodnotitele, aby posoudila relevantní připomínky akcionářů a věřitelů banky k řešení krize. Zahrnutí akcionářů a věřitelů do řešení krize se skládalo ze dvou částí. V první fázi proběhla registrace všech dotčených akcionářů a věřitelů s prokázáním identity a vlastnictví akcií dané banky. S touto fází SRB na svých webových stránkách zveřejnil i prohlášení o ochraně osobních údajů. Druhá fáze spočívala v zodpovězení sedmi otázek k předběžnému rozhodnutí společností Deloitte.

Evropský inspektor ochrany údajů obdržel pět stížností od věřitelů banky, které směřovaly na neinformování věřitelů o předání osobních údajů společnosti Deloitte. Ve svém rozhodnutí EDPS shledal SRB vinným z porušení článku 15 odst. 1 písm. d) nařízení 2018/1725, která stanoví povinnosti orgánů a institucí EU v oblasti ochrany údajů při zpracování osobních údajů a vytváření nových politik (dále jen „EUDPR"). 

SRB se následně odvolala kTribunálu (projednává žaloby proti orgánům EU). EDPS trval na svém rozhodnutí a poukázal, že SRB poskytl společnosti Deloitte pseudonymizované osobní údaje, protože SRB sdílel společnosti také alfanumerický kód, přičemž porušila povinnost informovat subjekty údajů o příjemci osobních údajich. Zapomněl však zmínit, že Deloitte neměla k dispozici žádné další informace, které by vedly k identifikaci věřitelů prostřednictvím alfanumerických čísel.

Pseudonymizace před soudem

Údaje shromážděné ve fázi registrace, tj. doložení totožnosti účastníků a vlastnictví odpisovaných nebo převedených kapitálových nástrojů společnosti Banco Popular, byly přístupné omezenému počtu zaměstnanců SRB odpovědných za posouzení způsobilosti účastníků. Tato data však nebyla dostupná zaměstnancům SRB odpovědným za zpracování připomínek obdržených ve druhé fázi řízení prostřednictvím formuláře. V ní totiž určení zaměstnanci obdrželi pouze připomínky identifikované odkazem na alfanumerický kód. 

Alfanumerický kód spočíval v univerzálním jednoznačném identifikátoru o 33 číslicích, vytvořeném a přiděleném náhodně každé jednotlivé připomínce předložené prostřednictvím formuláře.

SRB před předáním připomínek společnosti Deloitte tato data filtroval a kategorizoval.  Připomínky, které SRB předal společnosti Deloitte, byly výhradně obdržené v druhé fáze, které byly opatřeny alfanumerickým kódem vytvořeným pro účely auditu. SRB je pak dokázal zpětně ověřit a v případě potřeby i prokázat, že každá připomínka byla zpracována a řádně posouzena. Na základě tohoto kódu mohl pouze SRB spojit připomínky s údaji obdrženými ve fázi registrace. Společnosti Deloitte byly veškeré připomínky předány prostřednictvím zabezpečeného virtuálního datového serveru vyhrazeného, kam měl přístup omezený a kontrolovaný počet zaměstnanců společnosti Deloitte přímo zapojených do tohoto projektu.

Jak soud rozhodl?

Tribunál přímo neodpověděl, zda údaje sdílené se společnosti Deloitte jsou pseudonymizovaná data či nikoliv. Ve svém rozhodnutí se zaměřil spíše na procesní postup EDPS. Za chybu označil to to, že EDPS neprovedl dostatečné zhodnocení, zda třetí strana, tedy Deloitte, má dostatek informací k tomu, aby získaná data mohl spojit s konkrétními fyzickými osobami. Pouze pak se totiž jedná o osobní údaje.

V čem byl problém?

Evropský inspektor ochrany údajů totiž provedl vyhodnocení charakteru dat jako osobních údajů ze strany správce, nikoli z pohledu příjemce, společnosti Deloitte.

SRB měl k dispozici původní data a dokázal identifikovat subjekt údajů, Deloitte tato data neměl. Sdílení probíhalo přes zabezpečený virtuální server a třiceti tří číselný alfanumerický kód se nedal nijak rozumně prolomit. Proto podle soudu inspektor nemohl označit data sdílená s Deloitte jako pseudonymizovaná s možností identifikovat subjekt údajů.

Evropský inspektor ochrany údajů se odvolal k Soudnímu dvoru EU. Z února tohoto roku je k dispozici zatím názor generálního advokáta, který se přiklonil k názoru EDPS. Generální advokát dospěl k závěru, že vzhledem k tomu, že správce údajů, SRB, nesplnil svou povinnost poskytnout informace ohledně příjemce osobních údajů veřitelům a akcionářům, mělo by být předmětné rozhodnutí Evropského inspektora ochrany údajů potvrzeno. Povinnost poskytnut informace vyplývala ze vztahu správce SRB na jedné straně a subjektů údajů na druhé straně, a nikoli ze vztahu mezi správcem a příjemcem, tedy zpracovatelem.

Připomeňme si, že generální advokát vypracovává pouze stanovisko jako podklad pro Soudní dvůr. Stanovisko generálního advokáta není pro Soudní dvůr závazné, jeho závěry jsou však brány v úvahu a rozhodnutí samotného Soudního dvora EU významně ovlivňují.

Na pseudonymizovaná data se GDPR vztahuje v plném rozsahu!

Je zajímavé sledovat argumentaci jednotlivých stran týkající se reálných možností identifikace subjektů údajů. Nesmíme zapomenout, že pseudonymizace je prostředek k zabezpečení osobních údajů, které stále, i po pseudonymizaci, podléhají GDPR. Při posouzení, zda se jedná o pseudonymizované nebo již anonymní data vyloučená z působnosti GDPR je nutné zohlednit všechny objektivní faktory při určování možnosti identifikace subjektů údajů. 

Pojem  „přiměřené pravděpodobně“ zatím nikdo vyčerpávajícím způsobem nedefinoval. Možná nám bližší návod poskytne právě rozhodnutí Soudního dvora v tomto případu nebo finální verze již zmíněných pokynů k pseudonymizaci od Evropského sboru pro ochranu osobních údajů.

Článek je publikován také na doméně GDPR.cz