Ανδρέου ηλεκτρονικές απάτες

Από την ψευδωνυμοποίηση στα ανώνυμα δεδομένα: Το Γενικό Δικαστήριο ανοίγει τον δρόμο για διαβιβάσεις δεδομένων εκτός πεδίου εφαρμογής ΓΚΠΔ

Στις 26 Απριλίου 2023 δημοσιεύτηκε η απόφαση του Γενικού Δικαστηρίου της Ευρωπαϊκής Ένωσης στην υπόθεση «Ενιαίο Συμβούλιο Εξυγίανσης κατά Ευρωπαίου Επόπτη Προστασίας Δεδομένων» (T-557/20 – SRB v EDPS).

Η απόφαση εκδόθηκε επί προσφυγής που ασκήθηκε από το ΕΣΕ δυνάμει του άρθρου 263 ΣΛΕΕ για την ακύρωση απόφασης του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ).

Η απόφαση του Γενικού Δικαστηρίου αφορά στην ερμηνεία των διατάξεων του Κανονισμού (ΕΕ) 2018/1725, γνωστού και ως EUDPR, ο οποίος αποτελεί τον GDPR για τα όργανα της Ευρωπαϊκής Ένωσης.

Περαιτέρω, δεν αποτελεί κρίση του ΔΕΕ επί προδικαστικού αιτήματος για την ερμηνεία του δικαίου της Ένωσης, αλλά απόφαση του έτερου δικαιοδοτικού οργάνου του Δικαστηρίου της Ευρωπαϊκής Ένωσης, επί αίτησης ακύρωσης πράξης οργάνου αυτής.

Δεδομένης, ωστόσο, της ομοιότητας των διατάξεων του Κανονισμού αυτού με τις αντίστοιχες διατάξεις του ΓΚΠΔ, οι προεκτάσεις της υπόθεσης είναι πολλές και σημαντικές.

Ιστορικό:

Α. Η διαδικασία εξυγίανσης από το ΕΣΕ

Το καλοκαίρι του 2017, το Ενιαίο Συμβούλιο Εξυγίανσης αποφάσισε να θέσει την ισπανική τράπεζα Banco Popular Español υπό εξυγίανση, σύμφωνα με τις διατάξεις του Κανονισμού (ΕΕ) 806/2014. Μετά την υπαγωγή της Banco Popular σε καθεστώς εξυγίανσης, η Deloitte διαβίβασε στο ΕΣΕ την προβλεπόμενη στο άρθρο 20 του Κανονισμού αποτίμηση της διαφοράς ως προς τη μεταχείριση, προκειμένου να διαπιστωθεί κατά πόσον οι μέτοχοι και οι πιστωτές θα είχαν τύχει καλύτερης μεταχείρισης αν η Banco Popular είχε τεθεί υπό κανονική διαδικασία αφερεγγυότητας (Αποτίμηση 3).

Ακολούθως, με την προκαταρκτική απόφαση του Αυγούστου 2018, το ΕΣΕ κάλεσε τους θιγόμενους από την εξυγίανση της τράπεζας μετόχους και πιστωτές να εκδηλώσουν το ενδιαφέρον τους για την άσκηση του δικαιώματος ακρόασης, κατ’ εφαρμογήν του άρθρου 41 παρ.2α’ ΧΘΔΕΕ, προκειμένου να μπορέσει να λάβει τελική απόφαση για το κατά πόσον πρέπει να τους χορηγηθεί αποζημίωση. Σύμφωνα με την προκαταρκτική απόφαση, το δικαίωμα ακρόασης θα διεξαγόταν σε δύο στάδια: Σε πρώτη φάση (φάση εγγραφής), οι θιγόμενοι μέτοχοι και πιστωτές καλούνταν να εκδηλώσουν το ενδιαφέρον τους για την άσκηση του δικαιώματος ακρόασης μέσω εντύπου ηλεκτρονικής εγγραφής. Εν συνεχεία, το ΕΣΕ θα εξακρίβωνε αν όσοι εκδήλωσαν ενδιαφέρον είχαν πράγματι την ιδιότητα του θιγόμενου μετόχου ή πιστωτή. Στη δεύτερη φάση (φάση διαβούλευσης), οι θιγόμενοι μέτοχοι και πιστωτές, των οποίων το καθεστώς είχε ελεγχθεί από το ΕΣΕ, θα μπορούσαν να υποβάλουν τις παρατηρήσεις τους σχετικά με την προκαταρκτική απόφαση, στην οποία επισυναπτόταν ως παράρτημα η Αποτίμηση 3.

Μετά την ολοκλήρωση της πρώτης φάσης, όπου και υποβλήθηκαν τα αναγκαία δικαιολογητικά και έγγραφα ταυτοποίησης, το ΕΣΕ απέστειλε μέσω ηλεκτρονικού ταχυδρομείου στους πράγματι θιγόμενους μετόχους και πιστωτές έναν ενιαίο προσωπικό σύνδεσμο ο οποίος τους παρέπεμπε σε έντυπο μέσω διαδικτύου. Το έντυπο περιείχε επτά ερωτήσεις με περιορισμένο πεδίο απάντησης και παρείχε στους θιγόμενους μετόχους και πιστωτές τη δυνατότητα να υποβάλουν παρατηρήσεις σχετικά με την προκαταρκτική απόφαση καθώς και σχετικά με το μη εμπιστευτικό κείμενο της Αποτίμησης 3.

Το ΕΣΕ εξέτασε τις υποβληθείσες παρατηρήσεις και ζήτησε από την Deloitte, υπό την ιδιότητά της ως ανεξάρτητου αξιολογητή, να αξιολογήσει τις αφορώσες την Αποτίμηση 3 παρατηρήσεις, να του διαβιβάσει εγγράφως την αξιολόγησή της και να εξετάσει αν η Αποτίμηση 3 εξακολουθούσε να είναι έγκυρη υπό το πρίσμα των εν λόγω παρατηρήσεων.

Κατά την όλη διαδικασία αυτή, το ΕΣΕ ακολούθησε αυστηρές πολιτικές ψευδωνυμοποίησης/ανωνυμοποίησης (αυτό υπήρξε το επίδικο) και ασφάλειας δεδομένων: Τα δεδομένα ταυτοποίησης, που συνελέγησαν κατά τη φάση εγγραφής, ήταν προσβάσιμα σε περιορισμένο αριθμό υπαλλήλων του, οι οποίοι ήταν επιφορτισμένοι με την επεξεργασία των εν λόγω δεδομένων προκειμένου να εκτιμηθεί κατά πόσον οι συμμετέχοντες είχαν πράγματι την ιδιότητα του θιγόμενου μετόχου ή πιστωτή. Ακολούθως, οι υπάλληλοι του ΕΣΕ που είχαν αναλάβει την ανάλυση των υποβληθεισών παρατηρήσεων δεν έβλεπαν παρά μόνο παρατηρήσεις ταυτοποιήσιμες με αναφορά σε αλφαριθμητικό κωδικό. Ο αλφαριθμητικός κωδικός αποτελούνταν από έναν μοναδικό καθολικό αναγνωριστικό κωδικό 33 ψηφίων, παραγόμενο τυχαία κατά τον χρόνο παραλαβής των απαντήσεων στο έντυπο.

Μετά την ολοκλήρωση της διαδικασίας ανάλυσης και κατηγοριοποίησης των παρατηρήσεων, το ΕΣΕ κατέγραψε 3.730 παρατηρήσεις, εκ των οποίων διαβίβασε στην Deloitte μέσω ενός αποκλειστικού για το ΕΣΕ ασφαλούς εικονικού διακομιστή δεδομένων, 1.104 παρατηρήσεις σχετικές με την Αποτίμηση 3. Οι παρατηρήσεις διαβιβάστηκαν φιλτραρισμένες, κατηγοριοποιημένες και συγκεντρωμένες 1.

Β. Η καταγγελία ενώπιον του ΕΕΠΔ

Στα τέλη του 2019, ενώπιον του Ευρωπαίου Επόπτη Προστασίας Δεδομένων υπεβλήθησαν πέντε καταγγελίες για παραβίαση των διατάξεων του Κανονισμού (ΕΕ) 2018/1725, που όπως προαναφέρθηκε αποτελεί τον ΓΚΠΔ για τα όργανα της Ένωσης. Σύμφωνα με τις καταγγελίες, το ΕΣΕ δεν είχε ενημερώσει ότι τα δεδομένα που συνελέγησαν μέσω των απαντήσεων στο έντυπο θα διαβιβάζονταν σε τρίτους, και συγκεκριμένα, στην Deloitte και την Banco Santander, ως εκ τούτου παραβίασε το άρθρο 15 παρ.1δ’ του Κανονισμού ως προς την υποχρέωση ενημέρωσης για τους αποδέκτες 2.

Ο ΕΕΠΔ εξέδωσε δύο αποφάσεις: Με την αρχική του απόφαση στις 24-6-2020, ο Επίτροπος απηύθυνε στο ΕΣΕ επίπληξη, κρίνοντας πως είχε τελεστεί παραβίαση του άρθρου 15 του Κανονισμού, «καθόσον δεν ενημέρωσε, με τη δήλωση εμπιστευτικότητας, τους καταγγέλλοντες σχετικά με το ενδεχόμενο να κοινοποιηθούν τα δεδομένα τους προσωπικού χαρακτήρα στην Deloitte». Ακολούθως και μετά από αίτηση επανεξέτασης που υποβλήθηκε από το ΕΣΕ, με κύριο προβαλλόμενο λόγο το ότι οι πληροφορίες που διαβιβάστηκαν στην Deloitte δεν αποτελούσαν προσωπικά δεδομένα, ο ΕΕΠΔ εξέδωσε την αναθεωρημένη απόφαση της 24-11-2020, η οποία και προσβλήθηκε ενώπιον του Γενικού Δικαστηρίου.

Σύμφωνα με την απόφασή του αυτή, τα δεδομένα που διαβιβάστηκαν ήταν ψευδωνυμοποιημένα προσωπικά δεδομένα, ως εκ τούτου η Deloitte αποτελούσε τον αποδέκτη δεδομένων, κατά την έννοια του άρθρου 3 στοιχ. 13 του Κανονισμού3, ο οποίος έπρεπε να μνημονεύεται στην ενημέρωση (δήλωση εμπιστευτικότητας) που είχε δοθεί προς τα υποκείμενα των δεδομένων.

Η κρίση του Γενικού Δικαστηρίου

Το Γενικό Δικαστήριο εξέτασε τον πρώτο λόγο ακύρωσης, με τον οποίο προβλήθηκε η παράβαση του άρθρου 3 σημείο 14 του Κανονισμού 2018/1725, με το επιχείρημα ότι οι πληροφορίες που διαβιβάστηκαν στην Deloitte δεν αποτελούσαν δεδομένα προσωπικού χαρακτήρα.

Επί του λόγου ακύρωσης αυτού, το Γενικό Δικαστήριο ανέτρεξε σε δύο αποφάσεις του ΔΕΕ (Nowak και Breyer) και διαπίστωσε δύο σφάλματα στην κρίση του Ευρωπαίου Επόπτη.

Α. Οι γνώμες ως προσωπικά δεδομένα

Σύμφωνα με το άρθρο 3 στοιχ. 1 του EUDPR, προϋπόθεση για την ένταξη μιας πληροφορίας στην έννοια των προσωπικών δεδομένων είναι αυτή να «αφορά» φυσικό πρόσωπο. Το Γενικό Δικαστήριο, παραπέμποντας στην ερμηνεία της Οδηγίας 95/46 στην απόφαση Nowak5, υπενθύμισε πως «η χρησιμοποίηση της εκφράσεως “κάθε πληροφορία” στο πλαίσιο του ορισμού των “δεδομένων προσωπικού χαρακτήρα”, που περιλαμβάνεται στο άρθρο 3, σημείο 1, του κανονισμού 2018/1725, αποτελεί ένδειξη του σκοπού του νομοθέτη της Ένωσης να προσδώσει ευρεία έννοια στον όρο αυτόν, η οποία δεν περιορίζεται στις ευαίσθητες ή προσωπικού χαρακτήρα πληροφορίες, αλλά μπορεί να καλύπτει ενδεχομένως κάθε είδος πληροφοριών, τόσο αντικειμενικών όσο και υποκειμενικών, με τη μορφή γνώμης ή εκτιμήσεως, υπό την προϋπόθεση ότι οι πληροφορίες “αφορούν” το ενδιαφερόμενο άτομο.» Στο ίδιο πλαίσιο, το Δικαστήριο παρατήρησε πως έχει κριθεί ότι «η τελευταία αυτή προϋπόθεση πληρούται όταν, λόγω του περιεχομένου της, του σκοπού της ή του αποτελέσματός της, η πληροφορία συνδέεται με συγκεκριμένο πρόσωπο» 6.

Η πλημμέλεια που εντοπίστηκε ως προς την προσβαλλόμενη πράξη έγκειται στο ότι ο ΕΕΠΔ δεν εξέτασε ούτε το περιεχόμενο, ούτε τον σκοπό, ούτε το αποτέλεσμα των πληροφοριών που διαβιβάστηκαν στην Deloitte. Αντ’ αυτού, ο Επόπτης «περιορίστηκε στην αναφορά ότι οι παρατηρήσεις που υπέβαλαν οι καταγγέλλοντες κατά τη φάση της διαβούλευσης αντανακλούσαν τις γνώμες ή τις απόψεις τους και, επ’ αυτής και μόνον της βάσης, κατέληξε στο συμπέρασμα ότι αποτελούσαν πληροφορίες που τους αφορούσαν, όπερ ήταν αρκετό ώστε να χαρακτηριστούν ως δεδομένα προσωπικού χαρακτήρα».

Την άποψη αυτή υποστήριξε ο Επόπτης και ενώπιον του Δικαστηρίου, προβάλλοντας τον ισχυρισμό ότι κάθε προσωπική άποψη συνιστά δεδομένο προσωπικού χαρακτήρα.

Το Γενικό Δικαστήριο δεν δέχθηκε το τεκμήριο αυτό, κρίνοντας ότι (σκ. 73):

«Βεβαίως, δεν μπορεί να αποκλειστεί το ενδεχόμενο οι προσωπικές απόψεις ή γνώμες να συνιστούν δεδομένα προσωπικού χαρακτήρα. Εντούτοις, από τις σκέψεις 34 και 35 της αποφάσεως της 20ής Δεκεμβρίου 2017, Nowak (C‑434/16, EU:C:2017:994), οι οποίες μνημονεύονται στις σκέψεις 68 και 69 ανωτέρω, προκύπτει ότι ένα τέτοιο συμπέρασμα δεν μπορεί να βασίζεται σε τεκμήριο όπως αυτό που περιγράφεται στις σκέψεις 71 και 72 ανωτέρω, αλλά πρέπει να βασίζεται στην εξέταση του κατά πόσον μια άποψη συνδέεται με συγκεκριμένο πρόσωπο λόγω του περιεχομένου, του σκοπού ή του αποτελέσματός της.»

Ως εκ τούτου, σύμφωνα με την απόφαση, ο Επόπτης έσφαλλε όταν θεώρησε πως οι παρατηρήσεις – απόψεις των υποκειμένων των δεδομένων αποτελούν άνευ ετέρου προσωπικά δεδομένα. Μια τέτοια κρίση είναι δυνατή μόνον εφόσον έχει προηγηθεί η εξέταση της σύνδεσης της πληροφορίας με το πρόσωπο, βάσει των τριών παραμέτρων της Nowak.

Β. Ο λαμβάνων δεδομένα ως αποδέκτης ψευδωνυμοποιημένων δεδομένων

Το δεύτερο – και ευρύτερου ενδιαφέροντος – ζήτημα που απασχόλησε το Γενικό Δικαστήριο ήταν το κατά πόσον τα δεδομένα που διαβιβάστηκαν από το ΕΣΕ στην Deloitte αποτελούσαν ψευδωνυμοποιημένα δεδομένα, όπως δέχθηκε ο Επόπτης, ή ανώνυμα δεδομένα, όπως ισχυρίστηκε το ΕΣΕ.

Το ΕΣΕ υποστήριξε πως η κοινοποίηση του αλφαριθμητικού κωδικού στην Deloitte δεν συνιστά «ψευδωνυμοποίηση» των δεδομένων. Εφόσον δεν κοινοποιήθηκαν στην Deloitte οι πληροφορίες που θα επέτρεπαν την επαναταυτοποίηση των υποκειμένων, τα εν λόγω δεδομένα παρέμειναν ανώνυμα.

Περαιτέρω, σύμφωνα με το ΕΣΕ, τα δεδομένα καθίστανται ανώνυμα για τρίτον, ακόμη και αν η πληροφορία που καθιστά δυνατή την επαναταυτοποίηση δεν εξαλείφεται αμετάκλητα αλλά διατηρείται, δεδομένου ότι ο μορφότυπος υπό τον οποίο τα δεδομένα διαβιβάζονται στον εν λόγω τρίτο δεν επιτρέπει πλέον την ταυτοποίηση του υποβάλλοντος τις παρατηρήσεις ή δεν την καθιστά ευλόγως πιθανή. Αφενός, ο αλφαριθμητικός κωδικός που αντιστοιχεί σε κάθε επιμέρους παρατήρηση δεν θα επαρκούσε ώστε μπορεί η Deloitte να επαναταυτοποιήσει τα πρόσωπα που υπέβαλαν παρατηρήσεις. Αφετέρου, όσον αφορά το κριτήριο της εύλογης πιθανότητας συνδυασμού των πληροφοριών, η Deloitte δεν είχε και εξακολουθεί να μην διαθέτει κανένα νόμιμο μέσο πρόσβασης στις συμπληρωματικές πληροφορίες και στις πληροφορίες ταυτοποίησης.

Ο Επόπτης υποστήριξε ότι η μη πρόσβαση της Deloitte στις παρέχουσες τη δυνατότητα επαναταυτοποίησης πληροφορίες που διέθετε το ΕΣΕ δεν συνεπάγεται ότι τα «ψευδωνυμοποιημένα» δεδομένα που διαβιβάστηκαν στην Deloitte κατέστησαν ανώνυμα. Δεν είναι αναγκαίο να προσδιοριστεί αν η Deloitte μπορούσε να επαναταυτοποιήσει τους συντάκτες των πληροφοριών που διαβιβάστηκαν σε αυτήν ή αν η εν λόγω επαναταυτοποίηση ήταν ευλόγως πιθανή. Τα δεδομένα εξακολουθούν να είναι «ψευδωνυμοποιημένα» ακόμη και όταν διαβιβάζονται σε τρίτον ο οποίος δεν διαθέτει συμπληρωματικές πληροφορίες.

Όπως επεσήμανε, η διαφορά μεταξύ των «ψευδωνυμοποιημένων» δεδομένων και των ανωνύμων δεδομένων έγκειται στο γεγονός ότι, στην περίπτωση των ανωνύμων δεδομένων, δεν υπάρχουν «συμπληρωματικές πληροφορίες» δυνάμενες να χρησιμοποιηθούν προκειμένου να συσχετιστούν τα δεδομένα με συγκεκριμένο υποκείμενο, ενώ στην περίπτωση «ψευδωνυμοποιημένων» δεδομένων υπάρχουν τέτοιες συμπληρωματικές πληροφορίες. Ως εκ τούτου, προκειμένου να εκτιμηθεί αν τα δεδομένα ήταν ανώνυμα ή «ψευδωνυμοποιημένα», έπρεπε να εξεταστεί αν υπήρχαν «συμπληρωματικές πληροφορίες» που θα μπορούσαν να χρησιμοποιηθούν για τη συσχέτιση των δεδομένων με συγκεκριμένα υποκείμενα.

Και πάλι το Γενικό Δικαστήριο διαφώνησε με τον ΕΕΠΔ.

Επικαλούμενο την απόφαση Breyer του ΔΕΕ7, το Γενικό Δικαστήριο έκρινε ότι το λάθος του Επόπτη έγκειται στο ότι αυτός προσεγγίζει ερμηνευτικά το ζήτημα από τη σκοπιά του φορέα που διαβιβάζει τα δεδομένα και όχι του φορέα που τα λαμβάνει.

Ταυτίζοντας την Deloitte με τον φορέα παροχής υπηρεσιών τηλεμέσων της Breyer και το ΕΣΕ με τον πάροχο υπηρεσιών πρόσβασης στο διαδίκτυο, δεδομένου ότι είχε στην κατοχή του τις συμπληρωματικές πληροφορίες που καθιστούσαν δυνατή την ταυτοποίηση των θιγόμενων μετόχων και πιστωτών, ήτοι τον αλφαριθμητικό κωδικό και τη βάση δεδομένων ταυτοποίησης, το Γενικό Δικαστήριο έκρινε ότι ο ΕΕΠΔ «κακώς ισχυρίστηκε» ότι δεν ήταν αναγκαίο να διερευνηθεί αν η Deloitte μπορούσε να επαναταυτοποιήσει τους συντάκτες των πληροφοριών που της διαβιβάστηκαν ή αν η εν λόγω επαναταυτοποίηση ήταν ευλόγως δυνατή.

Με την προσβαλλόμενη αναθεωρημένη απόφασή του, ο Επόπτης αρκέστηκε να κρίνει ότι έκρινε ότι το γεγονός και μόνο πως το ΕΣΕ είχε στη διάθεσή του τις συμπληρωματικές πληροφορίες αρκούσε για να συναχθεί το συμπέρασμα ότι οι πληροφορίες που διαβιβάστηκαν ήταν δεδομένα προσωπικού χαρακτήρα, μολονότι αναγνωριζόταν πως τα δεδομένα ταυτοποίησης δεν είχαν κοινοποιηθεί στην Deloitte. Ουσιαστικά δηλαδή, σύμφωνα με το Γενικό Δικαστήριο, ο Επόπτης «περιορίστηκε στην εξέταση της δυνατότητας επαναταυτοποίησης των συντακτών των σχολίων μόνο από τη σκοπιά του ΕΣΕ και όχι από τη σκοπιά της Deloitte».

Σύμφωνα με τη σκέψη 45 8 της Breyer, ωστόσο, ο Επόπτης όφειλε να διαπιστώσει αν η δυνατότητα συνδυασμού των πληροφοριών που είχαν διαβιβαστεί στην Deloitte με τις συμπληρωματικές πληροφορίες που είχε στην κατοχή του το ΕΣΕ συνιστούσε μέσο το οποίο θα μπορούσε ευλόγως να χρησιμοποιηθεί από την Deloitte για την ταυτοποίηση των συντακτών των παρατηρήσεων. Δεδομένου ότι στην προσβαλλόμενη πράξη δεν διερευνήθηκε κατά πόσον η Deloitte διέθετε στην πράξη νόμιμα και πρόσφορα μέσα τα οποία της παρείχαν τη δυνατότητα να αποκτήσει πρόσβαση στις συμπληρωματικές πληροφορίες που ήταν αναγκαίες για την επαναταυτοποίηση των συντακτών των παρατηρήσεων, «ο ΕΕΠΔ δεν μπορούσε να καταλήξει στο συμπέρασμα ότι οι πληροφορίες που διαβιβάστηκαν στην Deloitte συνιστούσαν πληροφορίες που αφορούσαν «ταυτοποιήσιμο φυσικό πρόσωπο» κατά την έννοια του άρθρου 3, σημείο 1, του κανονισμού 2018/1725».

Για τους λόγους αυτούς, το Γενικό Δικαστήριο έκανε δεκτό τον πρώτο λόγο ακύρωσης και ακύρωσε την αναθεωρημένη απόφαση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.

Συμπεράσματα – Παρατηρήσεις

Είναι σαφές πως η ερμηνεία του Γενικού Δικαστηρίου ως προς την ανωνυμοποίηση ή ψευδωνυμοποίηση δεδομένων μπορεί να έχει σημαντικές προεκτάσεις και συνέπειες σε πολλαπλές πτυχές της επεξεργασίας δεδομένων, μεταξύ αυτών ως προς τους αυστηρούς κανόνες για τις διαβιβάσεις δεδομένων ή τους ρόλους των άρθρων 26-28 ΓΚΠΔ.

Η προσέγγιση και πρακτική που μέχρι σήμερα ακολουθήθηκε από πολλούς φορείς ήταν η αυστηρότερη, ως εκ τούτου η ασφαλέστερη: η διατήρηση των συμπληρωματικών στοιχείων ταυτοποίησης9 από έναν φορέα είναι αρκετή για να καταστήσει τα φυσικά πρόσωπα ταυτοποιήσιμα από οποιονδήποτε τρίτο φορέα λαμβάνει «ψευδωνυμοποιημένα» δεδομένα, έστω και χωρίς καταρχήν πρόσβαση στα στοιχεία αυτά. Τούτο παρά το ότι η αιτιολογική σκέψη 26 της Οδηγίας 95/46, το ΔΕΕ και η αιτιολογική 26 ΓΚΠΔ έκαναν λόγο για «μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν». Θα μπορούσαμε να εικάσουμε πως η αυστηρότητα αυτή προήλθε, σε μεγάλο βαθμό, και από την ίδια την τελική κρίση του ΔΕΕ στην υπόθεση Breyer: ακόμη και αν ο τρίτος φορέας δεν έχει το νόμιμο δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαβίβαση των πρόσθετων πληροφοριών, τίποτα δεν μπορεί να αποκλείσει τη δυνατότητά του να απευθυνθεί στην αρμόδια αρχή, προκειμένου αυτή να αναζητήσει και να λάβει τις πληροφορίες αυτές. Όπερ σημαίνει πως οι μεν παράμετροι είναι πολλές, το δε μέλλον των δεδομένων αβέβαιο.

Η αυστηρή αυτή προσέγγιση υποστηρίχθηκε και από τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων, τόσο στην προσβληθείσα απόφασή του, όσο και ενώπιον του Γενικού Δικαστηρίου. Όπως χαρακτηριστικά επεσήμανε, η διαφορά μεταξύ ψευδωνυμοποιημένων δεδομένων και ανωνύμων δεδομένων έγκειται στο γεγονός ότι, στην περίπτωση των ανωνύμων δεδομένων, δεν υπάρχουν «συμπληρωματικές πληροφορίες» δυνάμενες να χρησιμοποιηθούν προκειμένου να συσχετιστούν τα δεδομένα με συγκεκριμένο υποκείμενο, ενώ στην περίπτωση «ψευδωνυμοποιημένων» δεδομένων υπάρχουν τέτοιες συμπληρωματικές πληροφορίες. Από τη στιγμή δηλαδή που η Deloitte είχε λάβει το μοναδικό αναγνωριστικό, δηλαδή τον αλφαριθμητικό κωδικό, και το ΕΣΕ διατηρούσε τις συμπληρωματικές πληροφορίες, η σύνδεση με τη συμπληρωματική πληροφορία δεν θα μπορούσε να αποκλειστεί.

Το Γενικό Δικαστήριο φαίνεται πως επιχειρεί να κατεβάσει τον υψηλό πήχη της ανωνυμοποίησης και να περιορίσει (ή να εξορθολογήσει) το πεδίο εφαρμογής της νομοθεσίας για την προστασία προσωπικών δεδομένων 10.

Με την απόφασή του, το Γενικό Δικαστήριο ανοίγει τον δρόμο για πιο ισορροπημένες – αλλά και για πιο αυθαίρετες και δυνητικά επικίνδυνες – ερμηνευτικές προσεγγίσεις και πρακτικές, που θα στηρίζονται σε πραγματικό κριτήριο με βάση τα χαρακτηριστικά του τρίτου φορέα, παρά σε θεωρητικά τεκμήρια με βάση τη διατήρηση των στοιχείων επαναταυτοποίησης.

Πρέπει ωστόσο να επισημανθεί πως, σύμφωνα με το άρθρο 256 ΣΛΕΕ, η απόφαση υπόκειται σε αναίρεση ενώπιον του ΔΕΕ, την οποία ο ηττηθείς διάδικος (Επόπτης) μπορεί να ασκήσει εντός προθεσμίας δύο μηνών από την κοινοποίηση της απόφασης, όπως ορίζεται από το άρθρο 56 του Οργανισμού του Δικαστηρίου της Ευρωπαϊκής Ένωσης. Δεδομένης της σημασίας του ζητήματος, αλλά και του ρόλου του Επόπτη στην προστασία των προσωπικών δεδομένων στην Ένωση, θα μπορούσαμε να πιθανολογήσουμε πως το ζήτημα θα κριθεί τελικώς εκεί.

  • 1.Σύμφωνα με την απόφαση (σκ.23): «Οσάκις επρόκειτο για αντίγραφα προγενέστερων παρατηρήσεων, διαβιβάστηκε στην Deloitte μία μόνον παρατήρηση, με αποτέλεσμα οι επαναλαμβανόμενες παρατηρήσεις στο πλαίσιο της ίδιας θεματικής κατηγορίας να μην είναι διακριτές και η Deloitte να μην μπορεί να γνωρίζει αν μια παρατήρηση είχε διατυπωθεί από έναν ή περισσότερους συμμετέχοντες στη διαδικασία.»
  • 2.«[ό]ταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων […] τις πληροφορίες [που αφορούν] τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν». Πρόκειται για διάταξη αντίστοιχη με το άρθρο 13 παρ.1ε’ ΓΚΠΔ.
  • 3.Άρθρο 3 – Ορισμοί Για τους σκοπούς του παρόντος κανονισμού, εφαρμόζονται οι ακόλουθοι ορισμοί: […] 13) «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, προς τα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
  • 4.1) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας, ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
  • 5.Απόφαση της 20ής Δεκεμβρίου 2017, Nowak, C‑434/16, EU:C:2017:994, σκέψη 34
  • 6.Nowak, C‑434/16, EU:C:2017:994, σκέψη 35
  • 7.Απόφαση της 19ης Οκτωβρίου 2016, Breyer, C‑582/14, EU:C:2016:779
  • 8.45. Πάντως, πρέπει να καθορισθεί αν η δυνατότητα συνδυασμού δυναμικής διευθύνσεως IP με τις εν λόγω πρόσθετες πληροφορίες που έχει στη διάθεσή του ο ως άνω πάροχος υπηρεσιών προσβάσεως στο διαδίκτυο αποτελεί μέσο που μπορεί ευλόγως να χρησιμοποιηθεί για να εξακριβωθεί η ταυτότητα του οικείου προσώπου.
  • 9.Ή αλλιώς «πρόσθετων πληροφοριών που απαιτούνται για την εξακρίβωση της ταυτότητας», σύμφωνα με την Breyer.
  • 10.βλ. και αιτ.σκ.26 ΓΚΠΔ: «Οι αρχές της προστασίας δεδομένων δεν θα πρέπει συνεπώς να εφαρμόζονται σε ανώνυμες πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί. Ο παρών κανονισμός δεν αφορά συνεπώς την επεξεργασία τέτοιων ανώνυμων πληροφοριών, ούτε μεταξύ άλλων για στατιστικούς ή ερευνητικούς σκοπούς.»

Πηγή: lawspot.gr