CJEU: Definicija določljivega posameznika

CJEU: Definicija določljivega posameznika
22. 03. 2024 objavil/a Info Hiša
4. člen GDPR
določljivost posameznika

Sodišče EU je odločilo, da je definicija osebnih podatkov odvisna od tega, ali lahko posameznika z razumnimi sredstvi identificira upravljavec, ne pa od tega, ali je identifikacija mogoča „povprečnemu bralcu“.

Sodba je bila objavljena 7.3.2024

Postopek je pritožba na zadevo T‑384/20 – OC proti Evropski komisiji. Tožnik (OC) se je na odločitev Splošnega sodišča EU pritožil iz treh razlogov. Trdil je, da je Splošno sodišče pravno napačno razlagalo definicijo osebnih podatkov in pri izreku sodbe ni upoštevalo ustreznih upravnih postopkov (pravica do domneve nedolžnosti in pravica do dobrega upravljanja v skladu z Listino o temeljnih pravicah).

Glede opredelitve osebnih podatkov je tožnik trdil, da je splošno sodišče pravno napačno razložilo koncept „določljivega posameznika“. Trditev je argumentiral v dveh točkah:

  • Določljivost ni vezana na to, ali posameznika lahko identificira "povprečni bralec". Sodna praksa navaja, da je določljivost odvisna od tega, ali ima oseba dostop do "dodatnih virov... potrebnih za identifikacijo ... [ti viri] so lahko na voljo osebi, ki ni upravljavec" (glej C-582/14 v odstavku 39 in 41). Uporaba povprečnega bralca s strani Splošnega sodišča ne upošteva virov, do katerih ima dostop določen bralec v zadevi. Tako v nasprotju s sodno prakso ne preverja, ali ima oseba dodatne vire, potrebne za identifikacijo posameznika.

  • Splošno sodišče je zmotno trdilo, da so bila „sredstva, za katera se razumno pričakuje“, ki so bila uporabljena za identifikacijo posameznika (uvodna izjava 26 GDPR in uvodna izjava 16 EUDPR), omejena. Namesto tega bi moralo sodišče preučiti stroške in čas, potrebne za identifikacijo tožnika, da bi ugotovilo, ali je tožnika mogoče identificirati z „razumnimi sredstvi“. To bi bilo v skladu s tem, kar dejansko navaja recital 26 GDPR.
    Sodišče EU je odločilo, da je Splošno sodišče večkrat napačno uporabilo pravo in da je treba prvi točki pritožbe ugoditi.

Prvič je CJEU ugotovil, da imata EUDPR (Uredba 2018/1725 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije) – del zakonodaje, ki se uporablja v zadevnem primeru – in GDPR enako definicijo osebnih podatkov. Glede na to, da je zakonodajalec (v EUDPR recitalih 4 in 5 2018/1725) nameraval vzpostaviti GDPR enakovreden pravni okvir, je treba obe uredbi brati na enak način.

Drugič, določljivost je opredeljena v členu 3(1) uredbe 2018/1725 (člen 4(1) GDPR). Uporaba besede „posredno“ v teh členih pomeni, da ni nujno, da so samo informacije dejavnik, ki nekoga identificira. Ni nujno, da so vsi podatki, ki omogočajo identifikacijo, v rokah ene osebe. Dejstvo, da so za identifikacijo posameznika, na katerega se nanašajo osebni podatki, potrebne dodatne informacije, ne pomeni, da podatkov ni mogoče opredeliti kot osebne.

Tretjič, „razumno verjetno je“, da bi združitev poročila za javnost OLAF z dodatnimi informacijami uporabili za identifikacijo tožnika. Splošno sodišče se je zmotilo, ko je omejilo ta preizkus „razumnih sredstev“ tako, da ga je zamenjalo z odgovornostjo. Člen 3(1) uredbe 2018/1725 navaja, da lahko le dejanja, ki jih je mogoče pripisati instituciji EU, povzročijo odgovornost s strani Evropske unije. Vendar je Splošno sodišče menilo, da to pomeni, da mora identifikacija tožnika izhajati samo iz sporočila za javnost.

CJEU je v obrazložitvi odločitve pojasnilo, da sta odgovornost in določljivost ločeni. Dejstvo, da so potrebne dodatne informacije in da prihajajo od vira, ki ni upravljavec, ne izključuje določljive narave tožnika in s tem osebne narave podatkov. To je podprto z dejstvom, da recital 16 uredbe 2018/1725 (recital 26 GDPR) natančno določa, da lahko identifikacijo izvede „katera koli druga oseba“.

Četrtič, CJEU je zavrnilo termin Splošnega sodišča „povprečni bralec“. Splošno sodišče je ta test oblikovalo in ga prvič uporabilo v zadevi T‑384/20 - OC proti Evropski komisiji. Dejstvo, da je bralec sporočila za javnost novinar, ne more pripeljati do zaključka, da ne gre za osebne podatke.

Nazadnje je CJEU preučilo dejstva primera in ugotovilo, da bi dejstvo, da je sporočilo za javnost vsebovalo toliko podatkov pritožnika (spol, narodnost, očetov poklic, znesek nepovratnih sredstev za znanstveni projekt in geografsko lokacijo podjetja, ki gosti ta projekt) skupaj omogočilo, da je tožnik določljiv. Poleg tega je CJEU uporabilo preizkus „razumnih sredstev“ in ugotovilo, da je do identifikacije mogoče priti brez nesorazmernega truda v smislu časa, stroškov in dela. Tožnik ni dolžan dokazati, da je bil v času primera dejansko identificiran, saj tak pogoj ni vsebovan v členu 3(1) uredbe 2018/1725 (člen 4(1) GDPR). Iz tega sledi, da je Splošno sodišče napačno ugotovilo, da tožeča stranka ni bila določljiva in da zato ni šlo za osebne podatke.

Sodišče je ugodilo tudi drugi točki pritožbene (domneva nedolžnosti) in delno ugodilo tretji točki pritožbe (pravica do dobrega upravljanja). CJEU je zadevo vrnilo Splošnemu sodišču v ponovno odločanje.

Celotna sodba je dostopna tukaj 

Vir: GDPRHub