Tο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) διοργάνωσε στις 12 Δεκεμβρίου εκδήλωση (workshop) με στόχο τη συλλογή απόψεων για την ανωνυμοποίηση και την ψευδωνυμοποίηση. Η εκδήλωση πραγματοποιήθηκε μετά την αποσαφήνιση από το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) του πεδίου εφαρμογής της έννοιας των δεδομένων προσωπικού χαρακτήρα στην υπόθεση EDPS κατά Ενιαίου Συμβουλίου Εξυγίανσης (SRB) στο πλαίσιο επεξεργασίας των επερχόμενων κατευθυντήριων οδηγιών για την ανωνυμοποίηση.

Όπως αναφέρει η ΕΑΕΕ στην εγκύκλιό της, υπενθυμίζεται ότι η συγκεκριμένη απόφαση εκδόθηκε στην υπόθεση «Ευρωπαίος Επόπτης Προστασίας Δεδομένων (European Data Protection Supervisor – EDPS) κατά του Ενιαίου Συμβουλίου Εξυγίανσης (Single Resolutions Board – SRB)» και διευκρίνισε το πεδίο εφαρμογής της έννοιας των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο διαβίβασης ψευδωνυμοποιημένων δεδομένων σε τρίτους. Εν συντομία, μετά την εξυγίανση της ισπανικής Τράπεζας Banco Popular Español, το 2017, το Ενιαίο Συμβούλιο Εξυγίανσης (SRB) εξέδωσε προκαταρκτική απόφαση για το αν ήταν αναγκαίο να χορηγηθεί αποζημίωση στους πρώην μετόχους και πιστωτές της τράπεζας εξαιτίας της εν λόγω εξυγίανσης. Η απόφαση εκδόθηκε χωρίς να ακουστούν τα πρόσωπα αυτά και το SRB οργάνωσε μεταγενέστερη διαδικασία για να τους δοθεί η δυνατότητα να υποβάλουν παρατηρήσεις, στο πλαίσιο της οποίας το SRB διαβίβασε ορισμένες από αυτές, σε μορφή ψευδωνυμοποιημένων δεδομένων, στην εταιρία Deloitte που είχε επιφορτιστεί από το SRB με την αποτίμηση των επιπτώσεων της εξυγίανσης σε μετόχους και πιστωτές.

Στη συνέχεια, οι θιγόμενοι μέτοχοι και πιστωτές υπέβαλαν καταγγελίες στον Ευρωπαίο Επόπτη, με το αιτιολογικό ότι το Συμβούλιο (SRB) δεν τους είχε ενημερώσει ότι δεδομένα τους θα διαβιβάζονταν σε τρίτους και συγκεκριμένα στην εταιρία Deloitte. Στην υπόθεση το ΔΕΕ μεταξύ άλλων διευκρίνισε ότι η υποχρέωση ενημέρωσης αφορά τη σχέση μεταξύ υποκειμένου και υπευθύνου επεξεργασίας, και η αξιολόγηση γίνεται κατά τον χρόνο συλλογής των δεδομένων, πριν από οποιαδήποτε διαβίβαση, ανεξάρτητα από το πώς ή από ποιον τα δεδομένα θα τύχουν επεξεργασίας σε επόμενο χρόνο. Συνεπώς, το SRB όφειλε να ενημερώσει τα υποκείμενα, ανεξάρτητα από το αν τα δεδομένα θεωρούνταν προσωπικά για τη Deloitte μετά την ψευδωνυμοποίηση.

Στο έγγραφο συζήτησης του EDPB που τέθηκε σε επεξεργασία κατά τη διάρκεια του workshop, περιγράφεται ο τρόπος με τον οποίο η απόφαση του ΔΕΕ (στην υπόθεση EDPS κατά SRB) αποσαφηνίζει την αξιολόγηση της δυνατότητας ταυτοποίησης (λαμβάνοντας υπόψη το πλαίσιο χρήσης των δεδομένων, τους διαθέσιμους πόρους, τους αποδέκτες και τον τρόπο επεξεργασίας), και ειδικότερα πότε τα ψευδωνυμοποιημένα δεδομένα μπορούν να θεωρηθούν ανωνυμοποιημένα στα χέρια 3ου υπευθύνου επεξεργασίας που δεν διαθέτει τα μέσα για την επαναταυτοποίηση των υποκειμένων/ φυσικών προσώπων.

Η εκδήλωση συγκέντρωσε εκπροσώπους της βιομηχανίας, ΜΚΟ, δικηγορικών γραφείων και της ακαδημαϊκής κοινότητας, με στόχο τη συζήτηση των συνεπειών της απόφασης του ΔΕΕ. Οι κύριες θεματικές που αναδείχθηκαν ήταν:

✓ Η ευθύνη του υπευθύνου επεξεργασίας για την περαιτέρω πορεία των δεδομένων στην αλυσίδα επεξεργασίας.
✓ Η ανάγκη σαφούς ορισμού των «μέσων που είναι ευλόγως πιθανό» να χρησιμοποιηθούν για την ταυτοποίηση φυσικών προσώπων.
✓ Ο δυναμικός και εξελισσόμενος χαρακτήρας των κινδύνων επαναταυτοποίησης.

Η Insurance Europe από την πλευρά της τόνισε ότι η ασφαλιστική αγορά αναμένει από το EDPB την έκδοση κατευθυντήριων οδηγιών πρακτικής φύσεως με θετικά παραδείγματα, δεδομένου ότι οι ασφαλιστικές εταιρίες για τις κρίσιμες λειτουργίες βασίζονται στις τεχνικές της ψευδωνυμοποίησης και ανωνυμοποίησης. Επιπλέον, το EDPB θα πρέπει να αποσαφηνίσει ότι ο αρχικός υπεύθυνος επεξεργασίας δεν φέρει ευθύνη για υποθετικές μελλοντικές επαναταυτοποιήσεις (hypothetical future re-identifications) από την στιγμή που έχει λάβει τα κατάλληλα τεχνικά, οργανωτικά μέτρα βάσει σύμβασης για τον περιορισμό των κινδύνων επαναταυτοποίησης.

Βασικά συμπεράσματα του workshop

Το EDPB αναγνώρισε ότι η Ευρωπαϊκή Επιτροπή στο πλαίσιο του «Digital Omnibus» εισάγει αναθεωρημένο ορισμό των δεδομένων προσωπικού χαρακτήρα με σκοπό να εναρμονιστεί με την απόφαση SRB του ΔΕΕ. Ωστόσο, δεδομένου ότι οι προτάσεις δεν έχουν ακόμη εγκριθεί, το EDPB θα συνεχίσει το έργο του βάσει των ισχυουσών κανόνων.
Υπήρξε ευρεία συναίνεση για την ανάγκη σαφών και πρακτικών οδηγιών, ειδικά όσον αφορά την κατανομή ευθυνών όταν τα δεδομένα κοινοποιούνται σε τρίτους ή μετατρέπονται από προσωπικά σε μη προσωπικά.
Η πλειοψηφία των συμμετεχόντων πρότεινε οι αξιολογήσεις κινδύνου επαναταυτοποίησης να λαμβάνουν υπόψη μόνο πραγματικούς και ουσιαστικούς κινδύνους, με βάση τη γνώση που διαθέτουν οι υπεύθυνοι επεξεργασίας κατά τον χρόνο της επεξεργασίας.
Ωστόσο, πολλές συμμετέχουσες ΜΚΟ επισήμαναν ότι η υπόθεση SRB θα πρέπει να θεωρείται εξαίρεση και όχι ο κανόνας. Στην πλειονότητα των περιπτώσεων, τα δεδομένα θα πρέπει να θεωρούνται δεδομένα προσωπικού χαρακτήρα. Μόνο σε περιορισμένες περιπτώσεις θα μπορούσαν τα ψευδωνυμοποιημένα δεδομένα να θεωρηθούν ανωνυμοποιημένα στα χέρια 3ων, ιδίως όταν δεν υφίστανται κίνδυνοι περαιτέρω διαβίβασης των δεδομένων (π.χ. όταν υπάρχει υποχρέωση διαγραφής μετά τη χρήση τους).

Επί του παρόντος, το EDPB επεξεργάζεται την έκδοση των τελικών κατευθυντήριων οδηγιών για την ψευδωνυμοποίηση (το αρχικό σχέδιο κατευθυντήριων γραμμών για την ψευδωνυμοποίηση είχε τεθεί το 2024 σε δημόσια διαβούλευση) και στο σχέδιο κατευθυντήριων οδηγιών για την ανωνυμοποίηση.

Το Συμβούλιο δεν διευκρίνισε πότε θα ολοκληρώσει τα κείμενα, η δημοσίευσή τους ωστόσο αναμένεται εντός του 2026.

Ακολουθήστε την ασφαλιστική αγορά στο Google News