G. Surblytė – Namavičienė. Ar asmens duomenys, kuriems suteikti pseudonimai, laikomi nuasmenintais duomenimis: ESTT sprendimas byloje EDAPP prieš BPV

2025 metų rugsėjo 4 dieną Europos Sąjungos Teisingumo Teismas (ESTT) priėmė sprendimą byloje Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) prieš Bendrą pertvarkymo valdybą (BPV) (byla C-413/23 P), pateikdamas praktikai itin aktualų išaiškinimą dėl asmens duomenų apsaugos tais atvejais, kai duomenų valdytojo tretiesiems asmenims perduoti asmens duomenys yra užkoduoti simboliais, ir tretieji asmenys neturi prieigos prie raktinės informacijos, leidžiančios tokius simbolius iššifruoti. Kitaip tariant, byloje, be kita ko, nagrinėtas klausimas, ar asmens duomenys, kuriems suteikti pseudonimai, laikomi nuasmenintais duomenimis trečiųjų asmenų, kuriems duomenys perduoti be papildomos raktinės informacijos, atžvilgiu.

Pagal atitinkamuose Europos Sąjungos teisės aktuose įtvirtintą asmens duomenų apibrėžimą, asmens duomenimis laikoma bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (Reglamento 2016/679 (BDAR) 4 straipsnio 1 punktas, Reglamento 2018/1725 3 straipsnio 1 punktas). Skirtingai nuo šiame apibrėžime įtvirtinto pirmojo kriterijaus, t.y. „kurio tapatybė nustatyta“ (angl. identified), apibrėžimo antrasis kriterijus, t.y. „kurio tapatybę galima nustatyti“ (angl. identifiable), reiškia, kad toks tapatybės nustatymas galimas tiek tiesioginiu, tiek netiesioginiu būdu. Būtent šis antrasis kriterijus, be kita ko, ir buvo analizuojamas ESTT sprendime.

Iš faktinių bylos aplinkybiųginčijamas aspektas buvo tas, kad BPV, įgyvendindama banko pertvarkymo procedūrą, perdavė audito ir konsultacijų bendrovei Deloitte banko akcininkų ir kreditorių duomenis, reikalingus Deloitte, kad ši bendrovė galėtų atlikti atitinkamą vertinimą dėl akcininkų ir kreditorių finansinės padėties. Perduoti asmens duomenys buvo užkoduoti raidiniais ir skaitmeniniais simboliais (angl. alphanumeric code). Informacija, reikalinga tokių simbolių iššifravimui, Deloitte nebuvo perduota, ją turėjo duomenų valdytojas BPV. Atitinkamai ginčo metu BPV teigė, kad audito kompanija neturėjo galimybių nei jokių teisėtų priemonių gauti raktinę informaciją, reikalingą fizinių asmenų identifikavimui. Visgi, Europos duomenų apsaugos priežiūros pareigūno vertinimu, BPV pažeidė asmens duomenų teisinę apsaugą, nes perdavė Deloitte duomenis, kuriems suteikti pseudonimai, o tokie duomenys leidžia identifikuoti fizinius asmenis pasitelkus papildomą informaciją, tad yra laikomi asmens duomenimis. Pareigūno vertinimu tas faktas, kad Deloitte nebuvo suteikta prieiga prie raktinės informacijos dar nereiškė, kad perduoti duomenys buvo paversti anoniminiais. EDAPP nurodė, kad anoniminių duomenų atveju papildoma raktinė informacija išvis neegzistuoja.

Iš tiesų, pseudonimų suteikimas asmens duomenims yra viena iš tokių duomenų nuasmeninimo formų. Kitas būdas duomenų nuasmeninimui yra identifikatorių pašalinimas iš atitinkamų duomenų tokiu būdu, kad fizinio asmens tapatybė nebegali būti nustatyta (anoniminiai duomenys). Anoniminių duomenų atveju asmens duomenų teisinė apsauga netaikoma. Šios dvi duomenų nuasmeninimo technikos skiriasi tuo, kad anoniminių duomenų atveju fizinio asmens identifikavimas išvis nebėra įmanomas, tuo tarpu pseudonimų suteikimo atveju fizinį asmenį identifikuoti vis dar galima, jei yra gaunama papildoma informacija, „iššifruojanti“ pačius pseudonimus. BDAR 4 straipsnio 5 punkte (identiškame Reglamento 2018/1725 3 straipsnio 6 punktui) pseudonimų suteikimas iš esmės apibrėžiamas kaip asmens duomenų tvarkymas tokiu būdu, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija. Visgi būtina sąlyga tam, kad tokie duomenys nebūtų laikomi asmens duomenimis, yra ta, kad tokia papildoma informacija būtų saugoma atskirai ir jos atžvilgiu būtų taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui. Kitu atveju, t.y., jei pasinaudojus papildoma informacija, duomenis, kuriems suteikti pseudonimai, būtų galima priskirti atitinkamam fiziniam asmeniu, tokie duomenys būtų laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta, atitinkamai taikant asmens duomenų teisinę apsaugą. Visgi, įrodinėjant, kad papildoma informacija gali būti pasitelkta, svarbus aspektas yra tas, kiek yra pagrįstai tikėtina, kad atitinkamos priemonės bus pasitelktos fizinio asmens identifikavimui, atsižvelgiant į tokius objektyvius veiksnius kaip sąnaudos, laiko trukmė, duomenų tvarkymo metu turimos technologijos, technologinė plėtra, etc. (BDAR preambulės 26 punktas, Reglamento 2018/1725 preambulės 16 punktas).

Šiame kontekste pažymėtina, kad duomenų sąsajos klausimą nagrinėjęs ESTT 2016 metais priimtame sprendime Patrick Breyer prieš Vokietijos Federacinę Respubliką (byla C-582/14) pasisakė, kad tam, kad informacija būtų laikoma asmens duomenimis, nebūtina, kad visa informacija, sudaranti prielaidas fizinio asmens identifikavimui, būtų tik vieno asmens rankose. Kitaip tariant, net jei papildoma informacija, reikalinga fizinio asmens identifikavimui, yra duomenų valdytojo rankose, tai dar nereiškia, kad duomenys būtų laikomi asmens duomenimis tik duomenų valdytojo atžvilgiu. Konkrečiai byloje spręstas klausimas, ar dinaminis IP adresas, kurį interneto portalo valdytojas išsaugo asmeniui kiekvienąkart apsilankius viešai prieinamame šio valdytojo interneto puslapyje, laikytinas asmens duomenimis elektroninių paslaugų teikėjo (portalo valdytojo) atžvilgu, turint omenyje, kad šis turi tik dinaminio IP adreso duomenis, bet neturi papildomos informacijos, reikalingos fizinio asmens tapatybei nustatyti. Tokią informaciją turi tik tam fiziniam asmeniui interneto prieigą suteikęs interneto prieigos teikėjas (duomenų valdytojas). Patrick Breyer byloje ESTT nurodė, kad atsakymas į šį klausimą priklauso nuo to, kiek yra pagrįstai tikėtina, kad elektroninių paslaugų teikėjai turės galimybę gauti prieigą prie papildomos informacijos iš interneto prieigos teikėjų, kad, susieję dinaminį IP adresą su gauta papildoma informacija, galėtų atskleisti fizinio asmens tapatybę. Šiuo aspektu Teismas rėmėsi Generalinio Advokato išvada, kurioje nurodyta, kad pagrįstai tikėtinos priemonės, kaip jos yra įvardintos BDAR preambulės 26 punkte, neapimtų atvejų, kai trečiojo asmens kreipimasis į duomenų valdytoją, siekiant gauti papildomus duomenis, reikalingus fizinio asmens tapatybei nustatyti, „faktiškai reikalautų labai daug žmogiškųjų ir ekonominių išteklių, būtų praktiškai neįmanomas arba draudžiamas pagal įstatymą“ (byla C-582/14, 46 punktas, Generalinio Advokato išvada byloje C-582/14, 68 punktas). Atitinkamai Teismas pažymėjo, kad, priklausomai nuo situacijos, gali būti, kad tam tikrais atvejais draudimas interneto prieigos teikėjams pateikti informaciją elektroninių paslaugų teikėjams būtų įtvirtintas įstatyme, tačiau, iš kitos pusės, gali būti ir situacijų, kai tokią informaciją reikėtų pateikti, pavyzdžiui, kibernetinių atakų atveju. ESTT išvada buvo ta, kad dinaminis IP adresas būtų laikomas asmens duomenimis elektroninių paslaugų teikėjo atžvilgiu, jei šis turėtų „teisėtų priemonių atitinkamo asmens tapatybei nustatyti, remdamasis papildoma informacija, kurios turi šio asmens interneto prieigos teikėjas“ (byla C-582/14, 49 punktas).

EDAPP prieš BPV bylos kontekste šis ESTT išaiškinimas reiškia, kad pagrindinis klausimas, nuo kurio priklausytų, ar trečiajam asmeniui perduoti duomenys, kuriems suteikti pseudonimai, gali būti laikomi asmens duomenimis šio trečiojo asmens atžvilgiu, priklauso nuo to, ar šis trečias asmuo turi teisėtų ir praktiškai įgyvendinamų priemonių, kurios jam leistų susipažinti su papildoma informacija ir tokiu būdu sudarytų prielaidas nustatyti fizinių asmenų tapatybę. Kadangi byloje Europos duomenų apsaugos priežiūros pareigūnas šio klausimo netyrė, laikydamasis nuomonės, kad duomenys, kurie buvo perduoti Deloitte, buvo asmeniniai duomenys, nes egzistavo papildoma informacija, leidžianti identifikuoti fizinius asmenis, Europos Sąjungos Bendrasis Teismas 2023 metų balandžio 26 dieną panaikino Europos duomenų apsaugos priežiūros pareigūno sprendimą (byla T-557/20).

Apeliacinio proceso metu ESTT pabrėžė, kad, kadangi duomenų, kuriems suteikti pseudonimai, atveju egzistuoja papildoma raktinė informacija, negalima tokių duomenų laikyti anoniminiais duomenimis, kuriems nėra taikoma asmens duomenų teisinė apsauga. Kitaip tariant, skirtingai nei anoniminiai duomenys, duomenys, kuriems suteikti pseudonimai, savaime nebus laikomi nuasmenintais duomenimis. Kita vertus, pasak Teismo, tas faktas, kad egzistuoja papildoma raktinė informacija, taip pat neleidžia daryti vienareikšmiškos išvados, kad duomenys, kuriems suteikti pseudonimai, visais atvejais ir visų asmenų atžvilgiu bus laikomi asmens duomenimis. Šio klausimo vertinimas iš esmės priklauso nuo to, kaip veiksmingai yra įgyvendinamos techninės ir organizacinės priemonės, užkertančios kelią atitinkamus duomenis priskirti fiziniam asmeniui. Taigi, pasak Teismo, duomenys, kuriems suteikti pseudonimai, būtų laikomi asmens duomenimis duomenų valdytojo (byloje: BPV) atžvilgiu, nes pastarasis turi visą reikiamą informaciją, leidžiančią identifikuoti fizinius asmenis. Tuo tarpu Deloitte atžvilgiu perduoti duomenys nebūtų laikomi asmens duomenimis, jei, pirma, audito bendrovė, tvarkydama jai perduotus duomenis, negalėtų panaikinti BPV įdiegtų techninių ir organizacinių priemonių, susijusių su duomenų nuasmeninimu, ir, antra, tokios techninės ir organizacinės priemonės turėtų užkirsti kelią Deloitte susieti perduotus duomenis su fiziniais asmenimis, net ir pasitelkiant bet kokias kitas identifikavimo priemones, kaip pavyzdžiui, kryžminis patikrinimas (angl. cross-checking).

Kaip matyti iš EDAPP prieš BPV bylos, Teismas sprendime pabrėžė subjektyvią perspektyvą, atliekant asmens duomenų apibrėžime įtvirtinto antrojo kriterijaus, t.y. „kurio tapatybę galima nustatyti“ (angl. identifiable), vertinimą. Atitinkamai, atsakymas į klausimą, ar duomenys, kuriems suteikti pseudonimai, bus laikomi asmens duomenimis priklauso nuo to, kieno atžvilgiu vertinimas bus atliekamas. Subjektyvi perspektyva nuo objektyvios skiriasi tuo, kad pastarosios atžvilgiu duomenys, kuriems suteikti pseudonimai, būtų laikomi asmens duomenimis visas atvejais, jei tik egzistuoja galimybė šiuos duomenis atkoduoti. Visgi, pagal ESTT aiškinimą, vien ta aplinkybė, kad egzistuoja papildoma informacija, sudaranti prielaidas fizinio asmens tapatybei nustatyti, dar nereiškia, kad užkoduoti duomenys, perduoti trečiajam asmeniui, savaime būtų laikomi asmens duomenimis trečiojo asmens atžvilgiu. Kaip matyti iš ESTT išaiškinimo, atsakymas į klausimą, ar jie būtų laikomi asmens duomenimis tokių trečiųjų asmenų atžvilgiu, priklausytų nuo individualios bylos faktinių aplinkybių vertinimo, konkrečiai, nuo teisėtų ir praktiškai įgyvendinamų priemonių tokiam trečiajam asmeniui perduotą informaciją iššifruoti. Iš vienos pusės, toks išaiškinimas palengvina trečiųjų asmenų situaciją, nes atleidžia juos nuo asmens duomenų teisinės apsaugos reikalavimų taikymo tais atvejais, kai nėra įrodoma, kad jiems perduoti duomenys yra asmens duomenys, vertinant iš trečiojo asmens perspektyvos. Iš kitos pusės, tretiesiems asmenims tenka pareiga įsitikinti, kad, turint omenyje technologinę plėtrą, jie neturi jokių teisėtų ir praktiškai įgyvendinamų priemonių, sudarančių prielaidas fizinio asmens tapatybei nustatyti. Galiausiai duomenų valdytojo pareiga būtų įvertinti, ar duomenys yra laikomi asmeniniais duomenimis paties duomenų valdytojo atžvilgiu. ESTT aptariamoje byloje nurodė, kad toks vertinimas duomenų valdytojo turi būti atliekamas dar prieš duomenims suteikiant pseudonimus ir duomenis perduodant trečiajam asmeniui. Šis kritinis vertinimo momentas svarbus tuo, kad, jei duomenys bus laikomi asmeniniais duomenimis duomenų valdytojo atžvilgiu (net jei jiems perdavimo trečiajam asmeniui tikslais suteikiami pseudonimai), pastarasis turės laikytis visų asmens duomenų teisinės apsaugos reikalavimų, įskaitant teises ir pareigas, susijusias su duomenų subjektais. Byloje Teismas nurodė, kad BPV pažeidė skaidrumo pareigą, įtvirtintą Reglamento 2018/1725 15 straipsnyje (analogiškai BDAR 13 str.), nes, prieš perduodamas duomenis Deloitte, neinformavo atitinkamų duomenų subjektų apie jų asmens duomenų perdavimą trečiajam asmeniui. Tokia pareiga duomenų valdytojo atžvilgiu išlieka, net jei Deloitte atžvilgiu tie patys duomenys yra laikomi nuasmenintais.

Reziumuojant, nors pseudonimų suteikimas duomenims nėra naujas reiškinys, teisiškai jis pirmą kartą įtvirtintas ES Bendrajame duomenų apsaugos reglamente. Skirtingai nuo anoniminių duomenų, kurių atveju fizinio asmens tapatybei nustatyti reikalingi identifikatoriai pašalinami negrįžtamai ir kuriems atitinkamai nėra taikomi asmens duomenų teisinės apaugos reikalavimai, duomenys, kuriems suteikti pseudonimai, patenka į „pilkąją zoną“. Taip yra dėl to, kad pseudonimų suteikimo atveju galimybė identifikuoti fizinį asmenį išlieka, nes egzistuoja papildoma informacija, leidžianti pseudonimus iššifruoti. Bendrajame duomenų apsaugos reglamente nėra aiškiai įvardinta, ar turi būti remiamasi objektyvia, ar visgi atsižvelgta į subjektyvią perspektyvą, vertinant, ar  duomenys, kuriems suteikti pseudonimai, būtų laikomi asmens duomenimis. Atsakymas į šį klausimą išplaukia iš ESTT jurisprudencijos, aiškinančios atitinkamas BDAR nuostatas. Pagal ESTT, vertinama yra ne abstrakti galimybė identifikuoti fizinius asmenis, o konkrečiu atveju egzistuojančios – ne tik duomenų valdytojo, bet ir trečiųjų asmenų rankose esančios – teisėtos ir praktiškai įgyvendinamos priemonės, galinčios sudaryti prielaidas fizinių asmenų tapatybei nustatyti.

Dr. Gintarė Surblytė-Namavičienė LL.M. (München) yra VU Teisės fakulteto vyr. lektorė