Hof specificeert begrip gepseudonimiseerde gegevens

HVJ EU 4 september 2025, IT 4954; ECLI:EU:C:2025:645 (EDPS tegen GAR). De EDPS verzoekt vernietiging van het arrest van het Gerecht van de Europese Unie (ECLI:EU:T:2023:219). Op 7 juni 2017 besloot de Gemeenschappelijke Afwikkelingsraad (GAR) om de Spaanse bank Banco Popular in afwikkeling te plaatsen op grond van de GAM-verordening. De aandelen werden overgedragen aan Banco Santander. Deloitte werd aangesteld om te onderzoeken of aandeelhouders en crediteuren beter af zouden zijn geweest bij een normale insolventie. De GAR startte in 2018 een consultatieprocedure over mogelijke compensatie. Getroffen aandeelhouders en crediteuren konden zich registreren en opmerkingen indienen. Deze gegevens werden gepseudonimiseerd en deels doorgestuurd naar Deloitte door de GAR, zonder dat die toegang kreeg tot identiteitsgegevens. Enkele klagers dienden klachten in bij de EDPS over het delen van persoonsgegevens met Deloitte. De EDPS oordeelde dat sprake was van gepseudonimiseerde persoonsgegevens en dat GAR had nagelaten Deloitte als ontvanger te vermelden in de privacyverklaring, wat een schending was van de informatieplicht. Dit besluit is nietig verklaard door het Gerecht. De EDPS verzoekt vernietiging van dat arrest, zij voert hiervoor twee middelen aan, waarvan het eerste is ontleend aan schending van artikel 3, punten 1 en 6, van verordening 2018/1725, en het tweede aan schending van artikel 4, lid 2, en artikel 26, lid 1, van deze verordening. Met het eerste onderdeel van het eerste middel voert de EDPS aan dat de aan Deloitte verstrekte informatie betrekking had op een natuurlijk persoon. Met het tweede onderdeel van het eerste middel voert de EDPS aan dat het Gerecht ten onrechte heeft geoordeeld dat het niet kon vaststellen dat de informatie uit de aan Deloitte toegezonden opmerkingen betrekking had op een 'identificeerbare' natuurlijke persoon.

De definitie van het begrip 'persoonsgegevens' in artikel 3, punt 1, van verordening 2018/1725 is in wezen identiek aan die in artikel 4, punt 1, AVG. Hieronder wordt verstaan: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het Hof heeft al eerder geoordeeld dat het gebruik van de woorden 'alle informatie' in de definitie van het begrip 'persoonsgegevens' in deze bepaling wijst op de bedoeling van de Uniewetgever om een ruime betekenis te geven aan dit begrip, dat zich potentieel uitstrekt tot elk soort informatie, zowel objectieve als subjectieve informatie, in de vorm van meningen of beoordelingen, op voorwaarde dat deze informatie de betrokkene 'betreft'. Informatie betreft een geïdentificeerde of identificeerbare natuurlijke persoon wanneer die informatie wegens haar inhoud, doel of gevolg gelieerd is aan een identificeerbare persoon. De beoordeling van het Gerecht gaat voorbij aan de bijzondere aard van persoonlijke meningen of standpunten die, als uitdrukking van iemands gedachte, noodzakelijkerwijs nauw met hem verbonden zijn. Het Gerecht heeft blijk gegeven van een onjuiste rechtsopvatting. Het eerste onderdeel van het eerste middel wordt aanvaard door het Hof. Hierna oordeelt het Hof over de identificeerbaarheid. Pseudonimisering is geen element van de definitie van 'persoonsgegeven' maar verwijst naar de invoering van technisch een organisatorische maatregelen om het risico te verminderen dat een reeks van persoonsgegevens en de identiteit van de betrokkene aan elkaar worden gerelateerd. Het begrip pseudonimisering veronderstelt dat er informatie is aan de hand waarvan de betrokkene kan worden geïdentificeerd. Alleen al door het bestaan van dergelijke informatie is het uitgesloten dat gepseudonimiseerde gegevens in alle gevallen kunnen worden beschouwd als anonieme gegevens die buiten de werkingssfeer van de verordening vallen. Tenslotte oordeelt het Hof dat de EDPS blijk heeft gegeven van een onjuiste rechtsopvatting door te oordelen dat de GAR aan haar informatieverplichting had geschonden. Het Hof vernietigt het arrest en verwijst de zaak terug naar het Gerecht. 

85.      Gelet op de in het vorige punt in herinnering gebrachte rechtspraak betoogt de EDPS dus ten onrechte dat de omstandigheid dat gepseudonimiseerde gegevens voor de personen aan wie de verwerkingsverantwoordelijke dergelijke gegevens doorgeeft in voorkomend geval geen persoonlijk karakter hebben, ertoe zou kunnen leiden dat deze gegevens ten onrechte worden onttrokken aan de werkingssfeer van de Uniewetgeving inzake de bescherming van persoonsgegevens. Volgens deze rechtspraak heeft die omstandigheid immers geen invloed op de beoordeling van het persoonlijke karakter van die gegevens in de context van met name een eventuele latere doorgifte aan derden. Voor zover niet is uitgesloten dat deze derden redelijkerwijs in staat zullen zijn om met middelen, zoals een vergelijking met andere gegevens waarover zij beschikken, de gepseudonimiseerde gegevens te koppelen aan de betrokkene, moet deze persoon dus worden geacht identificeerbaar te zijn, zowel wat de doorgifte als wat de verdere verwerking van die gegevens door die derden betreft. In dergelijke omstandigheden moeten gepseudonimiseerde gegevens als persoonsgegevens worden beschouwd. 

86.      Hieruit volgt dat, anders dan de EDPS stelt, gepseudonimiseerde gegevens niet in alle gevallen en voor eenieder mogen worden beschouwd als persoonsgegevens voor de toepassing van verordening 2018/1725, aangezien pseudonimisering, afhankelijk van de omstandigheden van het geval, daadwerkelijk kan verhinderen dat andere personen dan de verwerkingsverantwoordelijke de betrokkene op zodanige wijze identificeren dat deze betrokkene voor hen niet of niet meer identificeerbaar is.