Pseudonimizacja danych osobowych w kontekście wyroku C-413/23 P

W erze gospodarki opartej na danych, balansowanie między innowacyjnością a ochroną prywatności stało się jednym z największych wyzwań zarówno prawnych, jak i technologicznych. Zarówno RODO[1], jak i jego odpowiednik dla instytucji i organów UE tj. rozporządzenie 2018/1725[2], wprowadziło pseudonimizację jako „złoty środek” – technikę pozwalającą na przetwarzanie danych przy jednoczesnym obniżeniu ryzyka dla osób, których dane dotyczą.

Przez lata administratorzy danych, szczególnie we współpracy z podmiotami trzecimi, opierali się na tzw. podejściu relatywnym, argumentując, że dane spseudonimizowane, przekazane odbiorcy bez „klucza” do reidentyfikacji, stają się dla tego odbiorcy danymi anonimowymi.

Niedawno ten sposób myślenia został w sposób fundamentalny zakwestionowany. Przełomowy wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 4 września 2025 r. w sprawie C-413/23 P (Europejski Inspektor Ochrony Danych[3] przeciwko Jednolitej Radzie ds. Restrukturyzacji i Uporządkowanej Likwidacji)[4], stanowi kamień milowy w interpretacji statusu danych pseudonimizowanych.

Tło i istota sporu w sprawie C-413/23 P

Sprawa C‑413/23 P dotyczyła restrukturyzacji hiszpańskiego banku Banco Popular Español w 2017 r. Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB), jako administrator, przekazała firmie audytorskiej Deloitte uwagi akcjonariuszy i wierzycieli zebrane w ramach procedury „prawa do bycia wysłuchanym”.

Dane zostały spseudonimizowane – każda uwaga była oznaczona 33‑cyfrowym kodem, a klucz umożliwiający identyfikację osób pozostał wyłącznie w SRB. Uczestnicy zarzucili SRB naruszenie obowiązku informacyjnego, twierdząc, że nie zostali poinformowani o przekazaniu danych Deloitte, co naruszało art. 15 ust. 1 lit. d) rozporządzenia 2018/1725.

Sąd Unii Europejskiej w pierwszej instancji stanął po stronie SRB, uznając, że EIOD nie wykazał, iż Deloitte, jako odbiorca, miała możliwość reidentyfikacji. Sprawa, choć miała dotyczyć jedynie obowiązku informacyjnego, w rzeczywistości dała Trybunałowi okazję do rozstrzygnięcia fundamentalnego sporu: czy dane oceniamy z perspektywy administratora, który posiada klucz do ich reidentyfikacji, czy odbiorcy, który tego klucza nie posiada? Odpowiedź TSUE jest jednoznaczna i będzie miała kolosalne znaczenie dla całego systemu przetwarzania danych.

Czym jest pseudonimizacja danych według definicji prawnej?

W celu zrozumienia istoty i wagi wyroku TSUE, należy najpierw sięgnąć do definicji legalnych. Choć sprawa C-413/23 P dotyczyła rozporządzenia 2018/1725 regulującego ochronę danych w instytucjach i organach UE, Trybunał wyraźnie podkreślił, że przepisy te należy interpretować tożsamo z RODO.

Zgodnie z art. 3 pkt 6 rozporządzenia 2018/1725 (i analogicznie art. 4 pkt 5 RODO), „pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Kluczowe dla tej definicji są zatem trzy warunki, które muszą zostać spełnione łącznie:

1. Proces dotyczy danych osobowych: Pseudonimizacja jest operacją przetwarzania danych osobowych – punktem wyjścia są więc zawsze dane osobowe.
2. Wymóg „klucza": Atrybuty identyfikujące (np. PESEL) są zastępowane (np. kodem), ale istnieje możliwość odwrócenia tego procesu przy użyciu "dodatkowych informacji", czyli właśnie „klucza".
3. Wymóg separacji i bezpieczeństwa: „Klucz" musi być przechowywany osobno i zabezpieczony technicznie oraz organizacyjnie.

Pseudonimizacja nie jest zatem metodą polegającą na trwałym usunięciu powiązania informacji z osobą fizyczną, lecz środkiem ochrony danych. Motyw 17 rozporządzenia 2018/1725 (oraz jego odpowiednik – motyw 28 RODO) wskazuje wprost, że celem pseudonimizacji jest ograniczenie ryzyka dla osób, których dane dotyczą, oraz pomoc administratorom i podmiotom przetwarzającym w wywiązaniu się z obowiązku ochrony danych.

Pseudonimizacja a anonimizacja danych – gdzie leży granica?

W praktyce pojęcia pseudonimizacji i anonimizacji są często mylone. Wyrok TSUE z 4 września 2025 r. wyraźnie akcentuje różnicę między tymi dwoma pojęciami.

Anonimizacja jest procesem nieodwracalnym. Jak czytamy w motywie 16 rozporządzenia 2018/1725 i motywie 26 RODO, zasady ochrony danych „nie powinny więc mieć zastosowania do informacji anonimowych”. Są to dane, które „nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną" lub zostały zanonimizowane „w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować". Skutecznie zanonimizowane dane przestają być danymi osobowymi, a rozporządzenie (2018/1725/RODO) nie ma do nich zastosowania.

Natomiast pseudonimizacja stanowi proces odwracalny. TSUE przypomniał, że spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, nadal należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.

Różnica między tymi pojęciami jest zatem fundamentalna. W przypadku anonimizacji „klucz" do odwrócenia procesu nie istnieje lub został bezpowrotnie zniszczony. W przypadku pseudonimizacji „klucz" istnieje, ale musi być przechowywany osobno i zabezpieczony technicznie oraz organizacyjnie.

Czy spseudonimizowane informacje zawsze mają status danych osobowych?

To pytanie było kluczowym punktem spornym w sprawie C-413/23 P. Zadaniem TSUE była odpowiedź na pytanie, czy dane, które dla administratora są danymi osobowymi (bo ma klucz), są nimi również dla odbiorcy, który klucza nie posiada?

Dokonując analizy Trybunał odwołał się do ugruntowanej linii orzeczniczej (m.in. wyrok Breyer, C-582/14), wskazując, że ocena, czy osoba jest „możliwa do zidentyfikowania”, zależy od perspektywy.

TSUE stanął na stanowisku, że dla administratora, który dokonał pseudonimizacji i który posiada „klucz”, dane spseudonimizowane są bezsprzecznie danymi osobowymi, bowiem administrator dysponuje dodatkowymi informacjami umożliwiającymi przypisanie ich konkretnej osobie.

Trybunał odrzucił jednak stanowisko EIOD, zgodnie z którym dane spseudonimizowane zawsze stanowią dane osobowe, niezależnie od kontekstu. TSUE wskazał, że jeśli zastosowane środki techniczne skutecznie uniemożliwiają odbiorcy identyfikację osoby, a ryzyko reidentyfikacji jest znikome (np. wymagałoby nadmiernych kosztów, czasu lub byłoby niezgodne z prawem), dane te mogą nie być uznane za osobowe z perspektywy tego odbiorcy.

Oznacza to, że dla odbiorcy dane poddane pseudonimizacji mogą nie stanowić danych osobowych, o ile odbiorca nie dysponuje środkami pozwalającymi na zniesienie zastosowanych zabezpieczeń ani na identyfikację osoby fizycznej, w szczególności poprzez korelację z innymi danymi.

Administrator a odbiorca danych – najważniejsze wnioski z wyroku

Wyrok TSUE z 4 września 2025 r. w sprawie C‑413/23 P jednoznacznie rozstrzyga spór dotyczący obowiązków informacyjnych administratora w sytuacji przekazywania danych odbiorcy. Trybunał uchylił wyrok Sądu UE i poparł stanowisko EIOD, wskazując trzy kluczowe wnioski:

1. Perspektywa administratora jest decydująca. Obowiązek informacyjny należy oceniać w momencie zbierania danych i z punktu widzenia administratora. Jeżeli dla administratora dane są danymi osobowymi (np. posiada klucz do danych spseudonimizowanych), musi on poinformować osobę, której dane dotyczą, o planowanym ujawnieniu danych odbiorcy – niezależnie od tego, czy dla odbiorcy dane będą anonimowe lub spseudonimizowane. TSUE podkreślił, że „kwestia, czy administrator wywiązał się w tym momencie ze spoczywającego na nim obowiązku podania informacji, nie może zależeć od możliwości zidentyfikowania osoby, której dane dotyczą, jaką w danym wypadku dysponowałby ewentualny odbiorca w następstwie przekazania rozpatrywanych danych”.
2. Obowiązek informacyjny powstaje na etapie zbierania danych. Celem art. 15 rozporządzenia 2018/1725 (odpowiednik art. 13 RODO) jest zapewnienie przejrzystości i umożliwienie osobie podjęcia świadomej decyzji o podaniu danych. Administrator musi ujawnić informacje o odbiorcach już na etapie zbierania danych, a nie dopiero w momencie ich przekazania odbiorcy.
3. Pseudonimizacja nie zwalnia z obowiązku informacyjnego. Zastosowanie pseudonimizacji jest środkiem technicznym, który nie zmienia faktu, że dochodzi do ujawnienia danych osobowych odbiorcy. Administrator nie może argumentować, że brak możliwości identyfikacji po stronie odbiorcy eliminuje obowiązek informacyjny. Wyrok TSUE zamyka drogę do praktyki polegającej na pomijaniu odbiorców w klauzulach informacyjnych pod pretekstem „anonimizacji” lub „pseudonimizacji”.

Konkluzja jest jednoznaczna: obowiązek informacyjny wynikający z art. 13 i 14 RODO (oraz art. 15 rozporządzenia 2018/1725) należy oceniać z perspektywy administratora i w chwili pozyskiwania danych osobowych. Trybunał wyraźnie odrzucił argumentację opartą na „podejściu relatywnym”, zamykając drogę do obchodzenia obowiązków informacyjnych poprzez techniczne zabiegi pseudonimizacji.

Znaczenie wyroku TSUE w kontekście systemów sztucznej inteligencji

Choć wyrok w sprawie C‑413/23 P nie odnosi się wprost do sztucznej inteligencji, jego znaczenie dla tego obszaru jest fundamentalne. Trybunał jednoznacznie odrzucił koncepcję „podejścia relatywnego” przy ocenie obowiązków administratora, co wymusza weryfikację dotychczasowych praktyk w zakresie trenowania modeli AI na danych spseudonimizowanych.

Dotychczas często argumentowano, że skoro dostawca infrastruktury lub narzędzi AI nie ma dostępu do klucza umożliwiającego identyfikację osób, przekazywane dane są dla niego anonimowe, a tym samym nie powstaje obowiązek informacyjny ani konieczność zawarcia umowy powierzenia przetwarzania. Wyrok TSUE jednak burzy tę logikę.

Trybunał przesądził, że obowiązek informacyjny należy oceniać z perspektywy administratora i w chwili pozyskiwania danych. Jeżeli administrator dysponuje informacjami pozwalającymi na identyfikację osoby, dane pozostają danymi osobowymi, nawet jeśli odbiorca otrzymuje je w formie spseudonimizowanej. W konsekwencji administrator musi ujawnić odbiorców w klauzulach informacyjnych oraz uregulować relację z dostawcą technologii w umowie powierzenia przetwarzania zgodnie z art. 28 RODO. Pseudonimizacja jest środkiem bezpieczeństwa, a nie instrumentem deregulacyjnym – nie zwalnia z obowiązków wynikających z prawa ochrony danych.

Wyrok ma również znaczenie w kontekście ryzyka reidentyfikacji. TSUE wskazał na konieczność uwzględnienia dostępnych technologii i postępu technicznego przy ocenie możliwości identyfikacji. Systemy sztucznej inteligencji, dzięki zdolności do łączenia rozproszonych informacji, mogą zwiększać prawdopodobieństwo odtworzenia tożsamości, co dodatkowo wzmacnia obowiązek stosowania zasady przejrzystości. Ukrywanie odbiorców za parawanem pseudonimizacji zostało uznane za naruszenie prawa do informacji, które jest fundamentem ochrony danych osobowych.

W praktyce oznacza to, że administratorzy korzystający z zewnętrznych rozwiązań AI muszą zapewnić pełną informację o odbiorcach danych już na etapie ich pozyskiwania oraz zawrzeć odpowiednie umowy powierzenia. Alternatywą pozostaje zastosowanie technik faktycznej anonimizacji, takich jak generowanie danych syntetycznych czy federated learning, co jest jednak znacznie trudniejsze i kosztowniejsze.

Podsumowanie

Wyrok TSUE w sprawie C‑413/23 P stanowi fundamentalne orzeczenie wzmacniające zasadę przejrzystości oraz prawa do informacji w erze cyfrowej. Trybunał jednoznacznie potwierdził, że pseudonimizacja jest wyłącznie środkiem technicznym i organizacyjnym służącym ograniczaniu ryzyka, a nie narzędziem umożliwiającym obejście obowiązków wynikających z RODO.

Kluczowa konkluzja sprowadza się do tego, że obowiązek informacyjny (art. 13 i 14 RODO) należy oceniać z perspektywy administratora i w chwili pozyskiwania danych. Jeżeli administrator dysponuje kluczem umożliwiającym identyfikację osoby, jest zobowiązany poinformować podmiot danych o wszystkich planowanych odbiorcach, nawet jeśli odbiorca otrzymuje dane w formie spseudonimizowanej.

Orzeczenie skutecznie zamyka drogę do praktyki polegającej na ukrywaniu odbiorców za parawanem technicznej pseudonimizacji, wymuszając pełną transparentność w całym łańcuchu przetwarzania danych – w tym w sektorze sztucznej inteligencji, gdzie należy uwzględniać postęp technologiczny i możliwość reidentyfikacji.

Karolina Bereza-Dziubiela

JWP Legal Dorota Rzążewska i Wspólnicy; specjalizuje się w prawie gospodarczym i handlowym, ochronie danych osobowych, prawie pracy oraz ochronie środowiska

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz. U. UE. L. z 2018 r. Nr 295, str. 39).

[3] Dalej: EIOD.

[4] Wyrok TS z 4.09.2025 r., C-413/23 P, EUROPEJSKI INSPEKTOR OCHRONY DANYCH PRZECIWKO JEDNOLITA RADA DS. RESTRUKTURYZACJI I UPORZĄDKOWANEJ LIKWIDACJI., LEX nr 3906735.