EROD przyjmuje wytyczne dotyczące pseudonimizacji i toruje drogę do poprawy współpracy z organami ochrony konkurencji

17 January 2025

Bruksela, 17 stycznia – Na posiedzeniu plenarnym w styczniu 2025 r. Europejska Rada Ochrony Danych (EROD) przyjęła wytyczne dotyczące pseudonimizacji, a także oświadczenie w sprawie wzajemnych zależności między prawem konkurencji a ochroną danych.

EROD wyjaśnia stosowanie pseudonimizacji w celu zapewnienia zgodności z RODO

W RODO wprowadzono termin „pseudonimizacja”* i odniesiono się do niego jako do zabezpieczenia, które może być odpowiednie i skuteczne w celu wypełnienia obowiązków w zakresie ochrony danych. W swoich wytycznych EROD wyjaśnia definicję i zastosowanie pseudonimizacji i danych spseudonimizowanych oraz korzyści płynące z pseudonimizacji.

Wytyczne zawierają dwa ważne wyjaśnienia prawne:

  1. Dane spseudonimizowane, które można przypisać osobie fizycznej za pomocą dodatkowych informacji, pozostają informacjami dotyczącymi możliwej do zidentyfikowania osoby fizycznej i w związku z tym nadal stanowią dane osobowe. Jeżeli dane mogą zostać powiązane z osobą fizyczną przez administratora danych lub inną osobę, pozostają to dane osobowe.
     
  2. Pseudonimizacja może zmniejszyć ryzyko i ułatwić korzystanie z uzasadnionych interesów jako podstawy prawnej (art. 6 ust. 1 lit. f) RODO), o ile spełnione są wszystkie inne wymogi RODO. Podobnie pseudonimizacja może pomóc w zapewnieniu zgodności z pierwotnym celem (art. 6 ust. 4 RODO).

W wytycznych wyjaśniono również, w jaki sposób pseudonimizacja może pomóc organizacjom w wypełnianiu ich obowiązków związanych z wdrażaniem zasad ochrony danych (art. 5 RODO), uwzględnianiem ochrony danych w fazie projektowania i domyślną ochroną danych (art. 25 RODO) oraz bezpieczeństwem (art. 32 RODO).

Ponadto w wytycznych przeanalizowano środki techniczne i zabezpieczenia stosowane przy pseudonimizacji, aby zapewnić poufność i zapobiec nieuprawnionej identyfikacji osób.

Wytyczne będą przedmiotem konsultacji publicznych do dnia 28 lutego 2025 r., zapewniając zainteresowanym stronom możliwość przedstawienia uwag i umożliwiając uwzględnienie przyszłych zmian w orzecznictwie.

Wzajemne powiązania między prawem ochrony danych a prawem konkurencji: stanowisko EROD w sprawie sposobów poprawy współpracy między organami regulacyjnymi

Na posiedzeniu plenarnym EROD przyjęła również stanowisko w sprawie wzajemnych zależności między prawem ochrony danych a prawem konkurencji.

W orzeczeniu TSUE w sprawie Meta przeciwko Bundeskartellamt z 4 lipca 2023 r. wyraźnie wskazano, że organy ochrony danych i organy ochrony konkurencji są zobowiązane do współpracy, w niektórych przypadkach, w celu osiągnięcia skutecznego i skoordynowanego egzekwowania prawa ochrony danych i prawa konkurencji. Chociaż są to odrębne dziedziny prawa realizujące różne cele w różnych ramach, w niektórych przypadkach mogą one mieć zastosowanie do tych samych podmiotów. Dlatego ważne jest, aby ocenić sytuacje, w których przepisy mogą się krzyżować.

W niniejszym dokumencie przedstawiającym stanowisko EROD wyjaśnia, w jaki sposób ochrona danych i prawo konkurencji wzajemnie na siebie oddziałują. Zaproponowano w nim kroki mające na celu włączenie czynników rynkowych i czynników konkurencji do praktyk w zakresie ochrony danych oraz uwzględnienie zasad ochrony danych w ocenach konkurencji. Przedstawiono w nim również zalecenia dotyczące poprawy współpracy między organami regulacyjnymi. Na przykład: organy powinny rozważyć utworzenie pojedynczego punktu kontaktowego w celu zarządzania koordynacją z innymi organami regulacyjnymi.

Wiceprzewodniczący EROD Zdravko Vukíc powiedział: Wraz z ewolucją modeli biznesowych potrzeba ochrony danych osobowych staje się coraz bardziej centralna. EROD promuje spójność między odrębnymi, ale wzajemnie powiązanymi obszarami regulacji, aby zapewnić najlepszą możliwą ochronę osób fizycznych. W tym celu będziemy nadal współpracować z organami ochrony konkurencji, aby zwiększyć zdolność organów ochrony danych do uwzględniania kontekstu gospodarczego oraz zdolność organów ochrony konkurencji do uwzględniania kwestii ochrony danych w swoich ocenach i decyzjach.

 

Uwaga dla redaktorów:

*„Pseudonimizacja” jest zdefiniowana w art. 4 ust. 5 RODO jako „przetwarzanie danych osobowych w taki sposób, że danych osobowych nie można już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane oddzielnie i podlegają środkom technicznym i organizacyjnym w celu zapewnienia, aby dane osobowe nie zostały przypisane zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”.

Opublikowany tutaj komunikat prasowy został automatycznie przetłumaczony z języka angielskiego.  EROD nie gwarantuje dokładności tłumaczenia. Proszę odnieść się do oficjalnego tekstu w wersji angielskiej, jeśli istnieją jakiekolwiek wątpliwości.