Wyrok TSUE w sprawie C‑413/23 P stanowi fundamentalne orzeczenie wzmacniające zasadę przejrzystości oraz prawa do informacji w erze cyfrowej. Trybunał jednoznacznie potwierdził, że pseudonimizacja jest wyłącznie środkiem technicznym i organizacyjnym służącym ograniczaniu ryzyka, a nie narzędziem umożliwiającym obejście obowiązków wynikających z RODO.

W erze gospodarki opartej na danych, balansowanie między innowacyjnością a ochroną prywatności stało się jednym z największych wyzwań zarówno prawnych, jak i technologicznych. Zarówno RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.), jak i jego odpowiednik dla instytucji i organów UE tj. rozporządzenie 2018/1725 (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz. U. UE. L. z 2018 r. Nr 295, str. 39), wprowadziło pseudonimizację jako „złoty środek” – technikę pozwalającą na przetwarzanie danych przy jednoczesnym obniżeniu ryzyka dla osób, których dane dotyczą.

Przez lata administratorzy danych, szczególnie we współpracy z podmiotami trzecimi, opierali się na tzw. podejściu relatywnym, argumentując, że dane spseudonimizowane, przekazane odbiorcy bez „klucza” do reidentyfikacji, stają się dla tego odbiorcy danymi anonimowymi.

Niedawno ten sposób myślenia został w sposób fundamentalny zakwestionowany. Przełomowy wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 4 września 2025 r. w sprawie C-413/23 P (Europejski Inspektor Ochrony Danych – EIOD przeciwko Jednolitej Radzie ds. Restrukturyzacji i Uporządkowanej Likwidacji – Wyrok TS z 4.09.2025 r., C-413/23 P, EUROPEJSKI INSPEKTOR OCHRONY DANYCH PRZECIWKO JEDNOLITA RADA DS. RESTRUKTURYZACJI I UPORZĄDKOWANEJ LIKWIDACJI., LEX nr 3906735), stanowi kamień milowy w interpretacji statusu danych pseudonimizowanych.

Tło i istota sporu w sprawie C-413/23 P

Sprawa C‑413/23 P dotyczyła restrukturyzacji hiszpańskiego banku Banco Popular Español w 2017 r. Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB), jako administrator, przekazała firmie audytorskiej Deloitte uwagi akcjonariuszy i wierzycieli zebrane w ramach procedury „prawa do bycia wysłuchanym”.

Dane zostały spseudonimizowane – każda uwaga była oznaczona 33‑cyfrowym kodem, a klucz umożliwiający identyfikację osób pozostał wyłącznie w SRB. Uczestnicy zarzucili SRB naruszenie obowiązku informacyjnego, twierdząc, że nie zostali poinformowani o przekazaniu danych Deloitte, co naruszało art. 15 ust. 1 lit. d) rozporządzenia 2018/1725.

Sąd Unii Europejskiej w pierwszej instancji stanął po stronie SRB, uznając, że EIOD nie wykazał, iż Deloitte, jako odbiorca, miała możliwość reidentyfikacji. Sprawa, choć miała dotyczyć jedynie obowiązku informacyjnego, w rzeczywistości dała Trybunałowi okazję do rozstrzygnięcia fundamentalnego sporu: czy dane oceniamy z perspektywy administratora, który posiada klucz do ich reidentyfikacji, czy odbiorcy, który tego klucza nie posiada? Odpowiedź TSUE jest jednoznaczna i będzie miała kolosalne znaczenie dla całego systemu przetwarzania danych.

Czym jest pseudonimizacja danych według definicji prawnej?

W celu zrozumienia istoty i wagi wyroku TSUE, należy najpierw sięgnąć do definicji legalnych. Choć sprawa C-413/23 P dotyczyła rozporządzenia 2018/1725 regulującego ochronę danych w instytucjach i organach UE, Trybunał wyraźnie podkreślił, że przepisy te należy interpretować tożsamo z RODO.

Zgodnie z art. 3 pkt 6 rozporządzenia 2018/1725 (i analogicznie art. 4 pkt 5 RODO), „pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Kluczowe dla tej definicji są zatem trzy warunki, które muszą zostać spełnione łącznie:

1. Proces dotyczy danych osobowych: Pseudonimizacja jest operacją przetwarzania danych osobowych – punktem wyjścia są więc zawsze dane osobowe.
2. Wymóg „klucza”: Atrybuty identyfikujące (np. PESEL) są zastępowane (np. kodem), ale istnieje możliwość odwrócenia tego procesu przy użyciu „dodatkowych informacji”, czyli właśnie „klucza”.
3. Wymóg separacji i bezpieczeństwa: „Klucz” musi być przechowywany osobno i zabezpieczony technicznie oraz organizacyjnie.

Pseudonimizacja nie jest zatem metodą polegającą na trwałym usunięciu powiązania informacji z osobą fizyczną, lecz środkiem ochrony danych. Motyw 17 rozporządzenia 2018/1725 (oraz jego odpowiednik – motyw 28 RODO) wskazuje wprost, że celem pseudonimizacji jest ograniczenie ryzyka dla osób, których dane dotyczą, oraz pomoc administratorom i podmiotom przetwarzającym w wywiązaniu się z obowiązku ochrony danych.

Pseudonimizacja a anonimizacja danych – gdzie leży granica?

W praktyce pojęcia pseudonimizacji i anonimizacji są często mylone. Wyrok TSUE z 4 września 2025 r. wyraźnie akcentuje różnicę między tymi dwoma pojęciami.

Anonimizacja jest procesem nieodwracalnym. Jak czytamy w motywie 16 rozporządzenia 2018/1725 i motywie 26 RODO, zasady ochrony danych „nie powinny więc mieć zastosowania do informacji anonimowych”. Są to dane, które „nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną” lub zostały zanonimizowane „w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować”. Skutecznie zanonimizowane dane przestają być danymi osobowymi, a rozporządzenie (2018/1725/RODO) nie ma do nich zastosowania.

Natomiast pseudonimizacja stanowi proces odwracalny. TSUE przypomniał, że spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, nadal należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej.

Różnica między tymi pojęciami jest zatem fundamentalna. W przypadku anonimizacji „klucz” do odwrócenia procesu nie istnieje lub został bezpowrotnie zniszczony. W przypadku pseudonimizacji „klucz” istnieje, ale musi być przechowywany osobno i zabezpieczony technicznie oraz organizacyjnie.

Znaczenie wyroku TSUE w kontekście systemów sztucznej inteligencji

Choć wyrok w sprawie C‑413/23 P nie odnosi się wprost do sztucznej inteligencji, jego znaczenie dla tego obszaru jest fundamentalne. Trybunał jednoznacznie odrzucił koncepcję „podejścia relatywnego” przy ocenie obowiązków administratora, co wymusza weryfikację dotychczasowych praktyk w zakresie trenowania modeli AI na danych spseudonimizowanych.

Dotychczas często argumentowano, że skoro dostawca infrastruktury lub narzędzi AI nie ma dostępu do klucza umożliwiającego identyfikację osób, przekazywane dane są dla niego anonimowe, a tym samym nie powstaje obowiązek informacyjny ani konieczność zawarcia umowy powierzenia przetwarzania. Wyrok TSUE jednak burzy tę logikę.

Trybunał przesądził, że obowiązek informacyjny należy oceniać z perspektywy administratora i w chwili pozyskiwania danych. Jeżeli administrator dysponuje informacjami pozwalającymi na identyfikację osoby, dane pozostają danymi osobowymi, nawet jeśli odbiorca otrzymuje je w formie spseudonimizowanej. W konsekwencji administrator musi ujawnić odbiorców w klauzulach informacyjnych oraz uregulować relację z dostawcą technologii w umowie powierzenia przetwarzania zgodnie z art. 28 RODO. Pseudonimizacja jest środkiem bezpieczeństwa, a nie instrumentem deregulacyjnym – nie zwalnia z obowiązków wynikających z prawa ochrony danych.

Wyrok ma również znaczenie w kontekście ryzyka reidentyfikacji. TSUE wskazał na konieczność uwzględnienia dostępnych technologii i postępu technicznego przy ocenie możliwości identyfikacji. Systemy sztucznej inteligencji, dzięki zdolności do łączenia rozproszonych informacji, mogą zwiększać prawdopodobieństwo odtworzenia tożsamości, co dodatkowo wzmacnia obowiązek stosowania zasady przejrzystości. Ukrywanie odbiorców za parawanem pseudonimizacji zostało uznane za naruszenie prawa do informacji, które jest fundamentem ochrony danych osobowych.

W praktyce oznacza to, że administratorzy korzystający z zewnętrznych rozwiązań AI muszą zapewnić pełną informację o odbiorcach danych już na etapie ich pozyskiwania oraz zawrzeć odpowiednie umowy powierzenia. Alternatywą pozostaje zastosowanie technik faktycznej anonimizacji, takich jak generowanie danych syntetycznych czy federated learning, co jest jednak znacznie trudniejsze i kosztowniejsze.

Podsumowanie

Wyrok TSUE w sprawie C‑413/23 P stanowi fundamentalne orzeczenie wzmacniające zasadę przejrzystości oraz prawa do informacji w erze cyfrowej. Trybunał jednoznacznie potwierdził, że pseudonimizacja jest wyłącznie środkiem technicznym i organizacyjnym służącym ograniczaniu ryzyka, a nie narzędziem umożliwiającym obejście obowiązków wynikających z RODO.

Kluczowa konkluzja sprowadza się do tego, że obowiązek informacyjny (art. 13 i 14 RODO) należy oceniać z perspektywy administratora i w chwili pozyskiwania danych. Jeżeli administrator dysponuje kluczem umożliwiającym identyfikację osoby, jest zobowiązany poinformować podmiot danych o wszystkich planowanych odbiorcach, nawet jeśli odbiorca otrzymuje dane w formie spseudonimizowanej.

Orzeczenie skutecznie zamyka drogę do praktyki polegającej na ukrywaniu odbiorców za parawanem technicznej pseudonimizacji, wymuszając pełną transparentność w całym łańcuchu przetwarzania danych – w tym w sektorze sztucznej inteligencji, gdzie należy uwzględniać postęp technologiczny i możliwość reidentyfikacji.

Karolina Bereza-Dziubiela, JWP Legal Dorota Rzążewska i Wspólnicy; specjalizuje się w prawie gospodarczym i handlowym, ochronie danych osobowych, prawie pracy oraz ochronie środowiska

Więcej szczegółów pod linkiem PARP

Źródło: Polska Agencja Rozwoju Przedsiębiorczości, Enterprise Europe Network