
Bruksela, 17 stycznia – Na posiedzeniu plenarnym w styczniu 2025 r. Europejska Rada Ochrony Danych (EROD) przyjęła wytyczne dotyczące pseudonimizacji, a także oświadczenie w sprawie wzajemnych zależności między prawem konkurencji a ochroną danych.
EROD wyjaśnia stosowanie pseudonimizacji w celu zapewnienia zgodności z RODO
W RODO wprowadzono termin „pseudonimizacja”* i odniesiono się do niego jako do zabezpieczenia, które może być odpowiednie i skuteczne w celu wypełnienia obowiązków w zakresie ochrony danych. W swoich wytycznych EROD wyjaśnia definicję i zastosowanie pseudonimizacji i danych spseudonimizowanych oraz korzyści płynące z pseudonimizacji.
Wytyczne zawierają dwa ważne wyjaśnienia prawne:
- Dane spseudonimizowane, które można przypisać osobie fizycznej za pomocą dodatkowych informacji, pozostają informacjami dotyczącymi możliwej do zidentyfikowania osoby fizycznej i w związku z tym nadal stanowią dane osobowe. Jeżeli dane mogą zostać powiązane z osobą fizyczną przez administratora danych lub inną osobę, pozostają to dane osobowe.
- Pseudonimizacja może zmniejszyć ryzyko i ułatwić korzystanie z uzasadnionych interesów jako podstawy prawnej (art. 6 ust. 1 lit. f) RODO), o ile spełnione są wszystkie inne wymogi RODO. Podobnie pseudonimizacja może pomóc w zapewnieniu zgodności z pierwotnym celem (art. 6 ust. 4 RODO).
W wytycznych wyjaśniono również, w jaki sposób pseudonimizacja może pomóc organizacjom w wypełnianiu ich obowiązków związanych z wdrażaniem zasad ochrony danych (art. 5 RODO), uwzględnianiem ochrony danych w fazie projektowania i domyślną ochroną danych (art. 25 RODO) oraz bezpieczeństwem (art. 32 RODO).
Ponadto w wytycznych przeanalizowano środki techniczne i zabezpieczenia stosowane przy pseudonimizacji, aby zapewnić poufność i zapobiec nieuprawnionej identyfikacji osób.
Wytyczne będą przedmiotem konsultacji publicznych do dnia 28 lutego 2025 r., zapewniając zainteresowanym stronom możliwość przedstawienia uwag i umożliwiając uwzględnienie przyszłych zmian w orzecznictwie.
Wzajemne powiązania między prawem ochrony danych a prawem konkurencji: stanowisko EROD w sprawie sposobów poprawy współpracy między organami regulacyjnymi
Na posiedzeniu plenarnym EROD przyjęła również stanowisko w sprawie wzajemnych zależności między prawem ochrony danych a prawem konkurencji.
W orzeczeniu TSUE w sprawie Meta przeciwko Bundeskartellamt z 4 lipca 2023 r. wyraźnie wskazano, że organy ochrony danych i organy ochrony konkurencji są zobowiązane do współpracy, w niektórych przypadkach, w celu osiągnięcia skutecznego i skoordynowanego egzekwowania prawa ochrony danych i prawa konkurencji. Chociaż są to odrębne dziedziny prawa realizujące różne cele w różnych ramach, w niektórych przypadkach mogą one mieć zastosowanie do tych samych podmiotów. Dlatego ważne jest, aby ocenić sytuacje, w których przepisy mogą się krzyżować.
W niniejszym dokumencie przedstawiającym stanowisko EROD wyjaśnia, w jaki sposób ochrona danych i prawo konkurencji wzajemnie na siebie oddziałują. Zaproponowano w nim kroki mające na celu włączenie czynników rynkowych i czynników konkurencji do praktyk w zakresie ochrony danych oraz uwzględnienie zasad ochrony danych w ocenach konkurencji. Przedstawiono w nim również zalecenia dotyczące poprawy współpracy między organami regulacyjnymi. Na przykład: organy powinny rozważyć utworzenie pojedynczego punktu kontaktowego w celu zarządzania koordynacją z innymi organami regulacyjnymi.
Wiceprzewodniczący EROD Zdravko Vukíc powiedział: Wraz z ewolucją modeli biznesowych potrzeba ochrony danych osobowych staje się coraz bardziej centralna. EROD promuje spójność między odrębnymi, ale wzajemnie powiązanymi obszarami regulacji, aby zapewnić najlepszą możliwą ochronę osób fizycznych. W tym celu będziemy nadal współpracować z organami ochrony konkurencji, aby zwiększyć zdolność organów ochrony danych do uwzględniania kontekstu gospodarczego oraz zdolność organów ochrony konkurencji do uwzględniania kwestii ochrony danych w swoich ocenach i decyzjach.
Uwaga dla redaktorów:
*„Pseudonimizacja” jest zdefiniowana w art. 4 ust. 5 RODO jako „przetwarzanie danych osobowych w taki sposób, że danych osobowych nie można już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane oddzielnie i podlegają środkom technicznym i organizacyjnym w celu zapewnienia, aby dane osobowe nie zostały przypisane zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”.
Opublikowany tutaj komunikat prasowy został automatycznie przetłumaczony z języka angielskiego. EROD nie gwarantuje dokładności tłumaczenia. Proszę odnieść się do oficjalnego tekstu w wersji angielskiej, jeśli istnieją jakiekolwiek wątpliwości.