O temi iz naslova ovog posta smo razgovarali s kolegama još prije puno godina temeljem stvarnih praksi s terena i drago nam je da smo recentnim stajalištem u ime Europskog suda dobili potvrdu naših promišljanja iz ranih godina primjene GDPR-a.

 

Naime, GDPR u svojoj uvodnoj izjavi (26) lijepo kaže:

„Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati nekom pojedincu uporabom dodatnih informacija trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi.“

 

No, ima i nastavak te uvodne izjave:

„Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca.

Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj.

Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi.

Ova se Uredba stoga ne odnosi na obradu takvih anonimnih informacija, među ostalim za statističke ili istraživačke svrhe.“

 

Članak 4. GDPR-a daje i definiciju pseudonimizacije: „obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi“

 

Ponekad prebrzi i prelaki zaključci dovode do jednostranog zaključivanja da anonimizirani podaci nisu osobni podaci, dok pseudonimizirani podaci ipak spadaju u osobne podatke.

Stoga je dobro proučiti mišljenje nezavisnog odvjetnika u ime Europskog suda u predmetu C-413/23 P:

https://curia.europa.eu/juris/document/document.jsf?text=&docid=295078&pageIndex=0&doclang=HR&mode=req&dir=&occ=first&part=1&cid=28933701#Footnote2

 

koje ukratko kaže:

֍ Ne može se isključiti da pseudonimizirani podaci, u određenim uvjetima, mogu biti izvan pojma „osobni podaci”.

֍ „Osobne podatke” se kvalificira kao podatke koji, iako su odvojeni od identifikacijskih podataka koji se nalaze u posjedu nekog drugog, u kontekstu o kojem je riječ mogu dovesti do rizika da će se ispitanike ponovno identificirati

 

Mi ćemo dodati da su ovakva tumačenja izrazito važna prilikom prijenosa pseudonimiziranih podataka jedne strane primatelju podataka, kada se mora od slučaja do slučaja procijeniti ima li uopće primatelj podataka tehnologiju i mogućnost pristupa drugim bazama ili izvorima podataka temeljem kojih bi mogao neizravno identificirati pojedinca poznatog strani koja je provela pseudonimizaciju, uz uvažavanje potrebnih prepreka u troškovima i vremenu potrebnom za takvo identificiranje.

 

#gdprcroatia