Sagen kort fortalt
Den Fælles Afviklingsinstans (SRB) engagerede Deloitte til at vurdere konsekvenserne af afviklingen af Banco Popular Español for aktionærer og kreditorer. Som led heri videresendte SRB bemærkninger fra tidligere aktionærer og kreditorer i pseudonymiseret form til Deloitte.
Berørte registrerede (aktionærerne og kreditorerne) klagede efterfølgende til EDPS, som fandt, at SRB havde tilsidesat sin oplysningspligt ved ikke at have informeret de registrerede om, at oplysninger om dem ville blive videregivet til Deloitte. SRB indbragte EDPS’ afgørelse for Retten, der gav SRB delvist medhold. EDPS appellerede til EU-Domstolen, der nu har afsagt dom i sagen.
Hvad er EU-Domstolen kommet frem til?
1) Personlige udtalelser er personoplysninger
Udtalelser og holdninger er som udgangspunkt personoplysninger, fordi de som udtryk for en persons tænkning er tæt knyttet til ophavspersonen. Det er derfor ikke nødvendigt først at analysere udtalelsens indhold, formål eller effekt for at afgøre, om der er tale om en personoplysning.
2) Pseudonymisering: Status afhænger af konteksten
Pseudonymiserede oplysninger om fysiske personer er ikke automatisk personoplysninger for enhver modtager. Spørgsmålet afhænger af konteksten og af, hvem der modtager oplysningerne. Det afgørende er, om modtageren faktisk råder over midler til at (gen)identificere personen, herunder gennem krydstjek med andre datasæt. Hvis sådanne midler ikke er tilgængelige (og ikke realistisk kan bringes i anvendelse), kan oplysningerne for den modtager miste karakteren af personoplysninger. Omvendt vil de samme oplysninger typisk forblive personoplysninger for den dataansvarlige, som ligger inde med de nødvendige midler/supplerende oplysninger.
EU-Domstolen henviser i den forbindelse til sin tidligere praksis, herunder sag C-582/14, Breyer, ifølge hvilken, alle rimelige hjælpemidler skal tages i betragtning ved vurderingen af, hvornår en oplysning er en personoplysning.
3) Oplysningspligt: Vurderes ved indsamling – fra den dataansvarliges perspektiv
Oplysningspligten er en del af retsforholdet mellem den registrerede og den dataansvarlige og skal opfyldes på indsamlingstidspunktet. Vurderingen af, om en person er identificerbar i den sammenhæng, sker ud fra den dataansvarliges perspektiv — ikke ud fra en senere modtagers. Kan den dataansvarlige identificere den registrerede, skal de registrerede informeres om bl.a. potentielle modtagere, uanset at en fremtidig modtager (efter pseudonymisering) måske ikke vil kunne identificere dem. Det sikrer, at den registrerede kan træffe et informeret valg og håndhæve sine rettigheder.