2025-10-07
ევროკავშირის მართლმსაჯულების სასამართლოს გადაწყვეტილება მონაცემთა ფსევდონიმიზაციის შესახებ
2025 წლის 4 სექტემბერს, ევროკავშირის მართლმსაჯულების სასამართლომ (“CJEU”) მონაცემთა ფსევდონიმიზაციის საკითხზე გადაწყვეტილება [1] გამოაქვეყნა. გადაწყვეტილების ფარგლებში სასამართლომ განმარტა „პერსონალური მონაცემის“ ცნება და მისი სამართლებრივი სტატუსი ფსევდონიმიზებული ფორმით მესამე პირებთან გაზიარების შემთხვევაში.[2] სასამართლოს გადაწყვეტილების თანახმად, ფსევდონიმიზებული მონაცემები ყველა შემთხვევაში პერსონალურ მონაცემებად არ უნდა იქნეს მიჩნეული.[3]
საქმის ფაქტობრივი გარემოებები
მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირმა (“SINGLE RESOLUTION BOARD” – “SRB”) ესპანური ბანკის (“BANCO POPULAR ESPAÑOL”) ფინანსური კრიზისის სიმძიმის შეფასების პროცესში პოტენციურ დაზარალებულებს (ბანკის აქციონერები და კრედიტორები) მისცა შესაძლებლობა დაეფიქსირებინათ საკუთარი მოსაზრებები ბანკის მდგომარეობასთან დაკავშირებით. აქციონერების და კრედიტორების კომენტარები (ფსევდონიმიზებული ფორმით) ამავე ბანკის გარე აუდიტორ კომპანიასთან (“DELOITTE”) გაზიარდა. კომენტარების გაზიარების პროცესი განხორციელდა ორ ეტაპად: პირველ ეტაპზე ბანკის აქციონერებმა და კრედიტორებმა გაიარეს რეგისტრაცია მათი იდენტობის დადასტურების მიზნით, შემდგომ კი გაგზავნეს კომენტარები, რომლის ფარგლებშიც გააზიარეს საკუთარი მოსაზრებები. მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის, (“SRB”)-ს თანამშრომელთაგან მხოლოდ რამდენიმე პირს ჰქონდა წვდომა სარეგისტრაციო პროცესში გაზიარებულ პერსონალურ მონაცემებზე. კომენტარები ინახებოდა სხვა ინფორმაციისაგან განცალკევებით და უკავშირდებოდა 33 ნიშნა კოდს და არა თავად პიროვნებას (კომენტარების ავტორს). ინფორმაცია აუდიტორულ კომპანიასთან კოდირებული ფორმით (პერსონალური მონაცემების გადაცემის გარეშე) გაზიარდა.
კომენტარების ავტორებმა აღნიშნულ საკითხზე „ევროკავშირის მონაცემთა დაცვის ზედამხედველს“ (“EDPS”) მიმართეს, იმ საფუძვლით, რომ არ იყვნენ ინფორმირებულნი მათი მონაცემების აუდიტორთან გადაცემის საკითხზე. მათი მოსაზრებით, კომენტარები მონაცემთა სუბიექტის პერსონალურ მონაცემებს წარმოადგენდა და ავტორების ინფორმირების გარეშე აუდიტორთან მათი გაზიარება „ევროკავშირის ინსტიტუციების მიერ მონაცემთა დაცვის შესახებ“[4] რეგულაციის და ევროკავშირის მონაცემთა დაცვის ძირითადი რეგულაციით (“GDPR”)[5] დადგენილ გამჭვირვალობის შესახებ მოთხოვნებს ეწინააღმდეგებოდა.[6]
„ევროკავშირის მონაცემთა დაცვის ზედამხედველმა“ (“EDPS”) განიხილა მიმართვა და დაადგინა, რომ მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის (“SRB”) მიერ ფსევდონიმიზებული მონაცემების “DELOITTE”-თან გაზიარება ძირითადი რეგულაციით გათვალისწინებული გამჭვირვალობის თაობაზე მოთხოვნებს არღვევდა. კერძოდ, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის (“SRB”) კონფიდენციალურობის პოლიტიკის დოკუმენტში (“PRIVACY STATEMENT”) კომპანია “DELOITTE”-ის შესახებ (როგორც მონაცემთა მიმღები მესამე პირის) ინფორმაცია არ იყო მითითებული.
ევროკავშირის მონაცემთა დაცვის ზედამხედველის აღნიშნული გადაწყვეტილება მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირმა (“SRB”) სასამართლოში (“GENERAL COURT OF THE EUROPEAN UNION”) გაასაჩივრა. სასამართლო არ დაეთანხმა „ევროკავშირის მონაცემთა დაცვის ზედამხედველის“ გადაწყვეტილებას და დაადგინა, რომ პიროვნების მოსაზრებები და კომენტარები პერსონალურ მონაცემებად არ უნდა მიჩნეულიყო, ვინაიდან აუდიტორულ კომპანიას ინფორმაციის ფსევდონიმიზებული ფორმით მიღების გამო არ შეეძლო კომენტარების ავტორების იდენტიფიცირება. ევროკავშირის მონაცემთა დაცვის ზედამხედველმა სასამართლოს აღნიშნული გადაწყვეტილების შესახებ მართლმსაჯულების სასამართლოს მიმართა.
მართლმსაჯულების სასამართლოს შეფასება
- კომენტარებისა და მოსაზრებების პერსონალურ მონაცემებად მიჩნევა
მართლმსაჯულების სასამართლომ დაადგინა, რომ პირადი მოსაზრებები და კომენტარები (თუ ისინი ასახავენ ავტორის ხედვას) მჭიდროდ არის დაკავშირებული ავტორთან და შესაბამისად, იგი მონაცემთა სუბიექტის პერსონალურ მონაცემებად განიხილება. მართლმსაჯულების სასამართლოს შეფასებით, პიროვნებასა და მის მოსაზრებებს შორის კავშირი (პირადი მოსაზრებების ან შეხედულებების არსის გათვალისწინებით) თავისთავად არსებობს.[7] კომენტარების შინაარსის, მისი გამოხატვის მიზნისა და გამოხატვით დამდგარი შედეგის მიუხედავად, მოსაზრებები უკავშირდება პიროვნებას, ვინაიდან ისინი გამოხატულია კონკრეტული პიროვნების მიერ.
- ფსევდონიმიზებული ფორმით არსებული მონაცემების პერსონალურ მონაცემებად მიჩნევა
მართლმსაჯულების სასამართლოს დასკვნით ფსევდონიმიზებული მონაცემების პერსონალურ მონაცემებად მიჩნევის საკითხი შეფასებას ყოველ ინდივიდუალურ შემთხვევაში საჭიროებს.
განსხვავებით მონაცემთა დამუშავებისთვის პასუხისმგებელი პირისაგან, მონაცემთა მიმღებს მხოლოდ მასთან არსებული, მისთვის გაზიარებული ინფორმაციის საფუძველზე მონაცემთა სუბიექტის იდენტიფიცირება არ შეუძლია. შესაბამისად, მონაცემთა მიმღებთან არსებული მონაცემები, როდესაც მონაცემთა მიმღებს მონაცემთა სუბიექტების იდენტიფიცირება არ შეუძლია პერსონალურ მონაცემებად არ უნდა იქნეს მიჩნეული.
სასამართლო მსჯელობისას „ფსევდონიმიზაციის“ ცნებას დაეყრდნო. დამატებით განხილულ იქნა ტექნიკური და ორგანიზაციული ზომების იმპლემენტაციის მნიშვნელობა მონაცემთა სუბიექტების იდენტიფიცირების რისკის შესამცირებლად. ცალკეული ტექნიკური და ორგანიზაციული ზომები - მაგალითად: მონაცემთა განცალკევება, მონაცემებზე წვდომის კონტროლი, მონაცემთა დაცვის თვალსაზრისით ხელშეკრულების შესაბამისი პირობების შემუშავება, ან კოდების მინიჭება შესაძლებელს ხდის მონაცემთა კონფიდენციალობის შენარჩუნებას. აღნიშნული ზომების დანერგვის პირობებში, როდესაც მონაცემთა სუბიექტების იდენტიფიცირება შესაძლებელი არ არის, მონაცემები პერსონალურად არ მიიჩნევა.
სასამართლოს შეფასებით, (“SRB”)-ს, როგორც მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს შეეძლო წვდომა დამატებით ინფორმაციაზე, და შესაბამისად მონაცემთა სუბიექტების იდენტიფიცირება. ამ შემთხვევაში, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი ფლობდა მონაცემთა სუბიექტების პერსონალურ მონაცემებს.
არსებული ტექნიკური და ორგანიზაციული ზომების გათვალისწინებით აუდიტორულ კომპანიას არ შეეძლო მიღებული მონაცემების საფუძველზე მონაცემთა სუბიექტების იდენტიფიცირება, შესაბამისად ამ მოცემულობაში მისთვის გადაცემული მონაცემები არ წარმოადგენს პერსონალურ მონაცემებს. [8]
- ფსევდონიმიზებულ მონაცემებზე გამჭვირვალობის შესახებ მოთხოვნების გავრცელება
ევროკავშირის მონაცემთა დაცვის ძირითადი რეგულაციით გათვალისწინებული გამჭვირვალობის შესახებ მოთხოვნების ფსევდონიმიზებულ მონაცემებზე გავრცელების თავლსაზრისით, მართლმსაჯულების სასამართლომ მიიჩნია, რომ საკითხი ყოველ ინდივიდუალურ შემთხვევაში დამოუკიდებლად უნდა შეფასდეს.
სასამართლოს გადაწყვეტილებით მონაცემთა სუბიექტის იდენტიფიცირების საკითხი ყველა შემთხვევაში დამოუკიდებელ, სიტუაციურ ანალიზს უნდა დაეყრდნოს. სასამართლომ დამატებით განმარტა, რომ მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს მონაცემთა დაცვის ძირითადი რეგულაციით დაწესებული გამჭვირვალობის ვალდებულება მონაცემთა მიღების მომენტში წარმოიშვება; შესაბამისად, ინფორმაციის საფუძველზე მონაცემთა სუბიექტის იდენტიფიცირების საკითხი მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის მიერ მონაცემთა შეგროვების ეტაპზე საჭიროებს შეფასებას. [9]
მართლმსაჯულების სასამართლომ დაადგინა, რომ განუსაზღვრელად იმისა, გადაიცა თუ არა მონაცემები ფსევდონიმიზებული ფორმით, მონაცემთა გადაცემამდე მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს (“SRB”) გააჩნდა მონაცემთა სუბიექტის ინფორმირების ვალდებულება მათი მონაცემების გარე საკონსულტაციო კომპანიასთან აუდიტის მიზნებით გაზიარების თაობაზე.[10]
მართლმსაჯულების სასამართლოს წინამდებარე გადაწყვეტილება ფსევდონიმიზებული მონაცემების სამართლებრივი სტატუსის შესახებ მნიშვნელოვან განმარტებებს შეიცავს.
სასამართლომ დაადგინა, რომ მონაცემთა სუბიექტის პირადი მოსაზრებები და ავტორის ხედვის ამსახველი კომენტარები მჭიდროდ არის დაკავშირებული ავტორთან და შესაბამისად, იგი მონაცემთა სუბიექტის პერსონალურ მონაცემებად განიხილება.
სასამართლოს დასკვნით ფსევდონიმიზებული მონაცემების პერსონალურ მონაცემებად მიჩნევის საკითხი შეფასებას ყოველ ინდივიდუალურ შემთხვევაში საჭიროებს.[11] განსხვავებით მონაცემთა დამუშავებისთვის პასუხისმგებელი პირისაგან, მონაცემთა მიმღებს მხოლოდ მასთან არსებული, მისთვის გაზიარებული ინფორმაციის საფუძველზე მონაცემთა სუბიექტის იდენტიფიცირება არ შეუძლია. შესაბამისად, მონაცემთა მიმღებთან არსებული მონაცემები, როდესაც მონაცემთა მიმღებს მონაცემთა სუბიექტების იდენტიფიცირება არ შეუძლია პერსონალურ მონაცემებად არ უნდა იქნეს მიჩნეული.
დამატებით, გადაწყვეტილებაში განხილულ იქნა ტექნიკური და ორგანიზაციული ზომების იმპლემენტაციის მნიშვნელობა მონაცემთა სუბიექტების იდენტიფიცირების რისკის შესამცირებლად. ცალკეული ტექნიკური და ორგანიზაციული ზომა - მაგალითად: მონაცემთა განცალკევება, მონაცემებზე წვდომის კონტროლი, მონაცემთა დაცვის თვალსაზრისით ხელშეკრულების შესაბამისი პირობების შემუშავება, ან კოდების მინიჭება შესაძლებელს ხდის მონაცემთა კონფიდენციალობის შენარჩუნებას. აღნიშნული ზომების დანერგვის პირობებში, როდესაც მონაცემთა სუბიექტების იდენტიფიცირება შესაძლებელი არ არის, მონაცემები პერსონალურად არ მიიჩნევა.
[3] CJEU PRESS RELEASE No 107/25 Luxembourg, 4 September 2025, Judgment of the Court in Case C-413/23 P | EDPS v SRB (Concept of personal data) The Court of Justice clarifies the scope of the concept of personal data in the context of a transfer of pseudonymised data to third parties[16.09.2025].
[4] REGULATION 2018/1725 ON THE PROTECTION OF PERSONAL DATA BY EU INSTITUTIONS
[8] CJEU PRESS RELEASE No 107/25 Luxembourg, 4 September 2025, Judgment of the Court in Case C-413/23 P | EDPS v SRB (Concept of personal data) The Court of Justice clarifies the scope of the concept of personal data in the context of a transfer of pseudonymised data to third parties[17.09.2025].