Evropski odbor za varstvo podatkov sprejema smernice za psevdonimizacijo in utira pot izboljšanju sodelovanja z organi za konkurenco

17 January 2025

Bruselj, 17. januarja – Evropski odbor za varstvo podatkov (EOVP) je na plenarnem zasedanju januarja 2025 sprejel smernice o psevdonimizaciji ter izjavo o medsebojnem vplivu konkurenčnega prava in varstva podatkov.

EOVP pojasnjuje uporabo psevdonimizacije za skladnost s splošno uredbo o varstvu podatkov 

Splošna uredba o varstvu podatkov uvaja izraz „psevdonimizacija“* in ga navaja kot zaščitni ukrep, ki je lahko primeren in učinkovit za izpolnjevanje obveznosti varstva podatkov. EOVP v svojih smernicah pojasnjuje opredelitev in uporabo psevdonimizacije in psevdonimiziranih podatkov ter prednosti psevdonimizacije.

Smernice vsebujejo dve pomembni pravni pojasnili:

  1. Psevdonimizirani podatki, ki jih je mogoče pripisati posamezniku z uporabo dodatnih informacij, ostajajo informacije, povezane z določljivim posameznikom, in so zato še vedno osebni podatki. Če lahko upravljavec podatkov ali kdo drug podatke poveže s posameznikom, ostanejo osebni podatki. 

  2. Psevdonimizacija lahko zmanjša tveganja in olajša uporabo zakonitih interesov kot pravne podlage (člen 6(1)(f) GDPR), če so izpolnjene vse druge zahteve GDPR. Podobno lahko psevdonimizacija pomaga pri zagotavljanju združljivosti s prvotnim namenom (člen 6(4) splošne uredbe o varstvu podatkov).

Smernice pojasnjujejo tudi, kako lahko psevdonimizacija pomaga organizacijam pri izpolnjevanju njihovih obveznosti v zvezi z izvajanjem načel varstva podatkov (člen 5 splošne uredbe o varstvu podatkov), vgrajenim in privzetim varstvom podatkov (člen 25 splošne uredbe o varstvu podatkov) ter varnostjo (člen 32 splošne uredbe o varstvu podatkov). 

Smernice analizirajo tudi tehnične ukrepe in zaščitne ukrepe pri uporabi psevdonimizacije, da se zagotovi zaupnost in prepreči nepooblaščena identifikacija posameznikov. 

Smernice bodo predmet javnega posvetovanja do 28. februarja 2025, kar bo deležnikom omogočilo, da predložijo pripombe, in omogočilo vključitev prihodnjega razvoja v sodno prakso.

Medsebojni vpliv zakonodaje o varstvu podatkov in konkurenčnega prava: mnenje Evropskega odbora za varstvo podatkov o tem, kako izboljšati sodelovanje med regulatorji;

EOVP je na plenarnem zasedanju sprejel tudi dokument o stališču glede medsebojnega vpliva prava o varstvu podatkov in konkurenčnega prava. 

V sodbi Sodišča Evropske unije v zadevi Meta proti Bundeskartellamt z dne 4. julija 2023 je jasno navedeno, da morajo organi za varstvo podatkov in organi, pristojni za konkurenco, v nekaterih primerih sodelovati, da bi dosegli učinkovito in usklajeno izvrševanje zakonodaje o varstvu podatkov in konkurenci. Čeprav gre za ločena pravna področja z različnimi cilji v različnih okvirih, se lahko v nekaterih primerih uporabljajo za iste subjekte. Zato je pomembno, da se ocenijo primeri, v katerih se zakoni lahko križajo.

EOVP v tem dokumentu o stališču pojasnjuje, kako medsebojno vplivata varstvo podatkov in konkurenčno pravo. Predlaga ukrepe za vključitev tržnih dejavnikov in dejavnikov konkurence v prakse varstva podatkov ter za upoštevanje pravil o varstvu podatkov pri ocenjevanju konkurence. Vsebuje tudi priporočila za izboljšanje sodelovanja med regulatorji. Na primer: organi bi morali razmisliti o vzpostavitvi enotne kontaktne točke za upravljanje usklajevanja z drugimi regulatorji.

Podpredsednik Evropskega odbora za varstvo podatkov Zdravko Vukíc je povedal: „Zrazvojem poslovnih modelov postaja potreba po varstvu osebnih podatkov vse pomembnejša. EOVP spodbuja skladnost med ločenimi, vendar medsebojno povezanimi področji urejanja, da se zagotovi najboljša možna zaščita posameznikov. V ta namen bomo še naprej sodelovali z organi, pristojnimi za konkurenco, da bi okrepili zmožnost organov za varstvo podatkov, da upoštevajo gospodarske razmere, in zmožnost organov, pristojnih za konkurenco, da v svoje ocene in odločitve vključijo vidike varstva podatkov.“

Opomba urednikom:

*„Psevdonimizacija“ je v členu 4(5) splošne uredbe o varstvu podatkov opredeljena kot „obdelava osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotovitev, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku“.