avocatnet.ro 
În cauza C-413/23, CJUE a analizat ce s-a întâmplat după rezoluția unei bănci europene. În acel context, Consiliul Unic de Rezoluție (SRB) a adoptat o decizie preliminară privind compensarea foștilor acționari și creditori ai instituției. Pentru ca aceștia să își poată exprima punctul de vedere, SRB a organizat o procedură de consultare.
O parte dintre comentariile depuse de persoanele vizate au fost transmise, sub formă pseudonimizată, către o firmă externă desemnată să evalueze efectele rezoluției asupra acționarilor și creditorilor.
Mai mulți dintre aceștia au depus reclamații la Autoritatea Europeană pentru Protecția Datelor (EDPS) că nu fuseseră informați despre transferul datelor lor către terți. EDPS a constatat că firma respectivă era, în acest caz, destinatar de date cu caracter personal și că SRB încălcase obligația de informare prevăzută de Regulamentul 2018/1725.
SRB a contestat decizia la Tribunalul Uniunii Europene, care i-a dat parțial dreptate și a anulat decizia EDPS.
În urma apelului formulat de EDPS, CJUE a decis că Tribunalul a greșit atunci când a cerut ca EDPS să analizeze conținutul, scopul sau efectele comentariilor pentru a stabili dacă erau „date cu caracter personal”. Potrivit Curții, fiind vorba de opinii sau puncte de vedere exprimate de persoane, acestea sunt prin natura lor inseparabil legate de autor și, deci, reprezintă date personale.
Curtea a confirmat, totuși, că pseudonimizarea nu duce întotdeauna la existența de date cu caracter personal pentru oricine. Dacă identificarea persoanei vizate nu mai este posibilă pentru cei care primesc datele, atunci, în funcție de circumstanțe, acestea nu mai constituie date personale din perspectiva acelora.
Util: Vocea unei persoane este considerată dată personală. Operatorii telefonici sunt obligați să furnizeze înregistrarea convorbirii cu clientul
În plus, CJUE a arătat că Tribunalul a interpretat greșit obligația de informare. Această obligație privește relația dintre operator (în acest caz, SRB) și persoanele vizate și se evaluează din perspectiva datelor colectate de operator, înainte de orice transfer către terți.
Astfel, obligația SRB de a informa persoanele vizate exista independent de faptul că, după pseudonimizare, destinatarii externi nu mai puteau identifica persoanele respective.
Notă: Pseudonimizarea înseamnă înlocuirea datelor care identifică direct o persoană (nume, CNP etc.) cu un cod sau alt identificator. Persoana nu mai poate fi recunoscută imediat, dar poate fi identificată din nou dacă există informațiile suplimentare care fac legătura.
Comentarii articol (0)