GC EU: Umik postopka, vpliv sodbe CJEU ostaja
Sodni postopek o psevdonimizaciji se je zaključil brez materialne odločitve, a z novim standardom glede vprašanja, kdaj gre za osebne podatke v primerih psevdonomizacije
Novica je bila objavljena 14. 1. 2026.
Zadeva EDPS proti SRB (Sodišče EU C‑413/23 P, EU:C:2025:645), o kateri smo že pisali, se je decembra 2025 zaključila z odločitvijo strank, da spor pred Splošnim sodiščem EU umaknejo. Sodišče je umik sprejelo in postopek ustavilo, pri čemer je vsaka od strank prevzela svoj del stroškov. Tako se je večletni pravni spor končal brez nadaljnje vsebinske razprave in brez nove sodbe na tej ravni.
Čeprav se je postopek pred Splošnim sodiščem zaključil procesno in brez dodatne razjasnitve ali upoštevanja sodbe Sodišča EU (CJEU), to ne zmanjšuje pomena odločitve, ki jo je CJEU sprejelo v postopku predhodnega odločanja in odločilo, da da lahko psevdonimizacija v določenih okoliščinah dejansko prepreči identifikacijo posameznika s strani tretjih oseb, pod pogojem, da so uvedeni učinkoviti tehnični in organizacijski ukrepi. CJEU je ob tem potrdilo tudi standard presoje: bistveno vprašanje je, ali je ponovna identifikacija razumno verjetna. Da bi podatki izpadli iz področja osebnih podatkov, mora biti tveganje identifikacije zanemarljivo, bodisi zato, ker bi bila ponovna identifikacija pravno prepovedana ali ker bi bila v praksi nerazumno zahtevna glede časa, stroškov ali napora.
Čeprav do končne sodbe Splošnega sodišča ni prišlo, sodba CJEU ostaja v celoti veljavna in zavezujoča. EDPS je v odzivu tudi uradno poudaril, da bo odločba CJEU še naprej »operativni standard« za presojo obdelave psevdonimiziranih podatkov. Pravni komentatorji se strinjajo, da umik postopka pomeni predvsem, da nobena od strank ni imela interesa nadaljevati spora, medtem ko je pravno vprašanje, ki je v praksi najbolj pomembno, že dobilo odgovor.
Na regulatorni ravni se vplivi sodbe CJEU že poznajo. Evropski odbor za varstvo podatkov posodablja smernice o psevdonimizaciji, v katere vključuje prav te pravne standarde. Vzporedno potekajo še razprave znotraj zakonodajnih procesov, zlasti pri t. i. Digital Omnibus predlogu Evropske komisije, kjer se vprašanje ponovne identifikacije ponovno odpira.
Zaključek primera tako deluje predvsem kot procesni epilog, medtem ko materialni del ostaja živ in relevanten. Za upravljavce in obdelovalce to pomeni, da psevdonimizacija ostaja pomembna tehnika znotraj GDPR, kjer je ključna ocena, ali je posameznika v praksi mogoče ponovno identificirati. Glede na odločitev CJEU je to vprašanje pogosto širše, kot se zdi na prvi pogled.
Vir: iapp.org
Naslovna fotografija: Unsplash
