Когда персональные данные перестают быть персональными: решение Суда Европейского союза, меняющее практику в отношении псевдонимизации.

Предыстория: Что произошло на самом деле

Единому совету по урегулированию проблемных активов необходимо было оценить стоимость Banco Popular Español в ходе его урегулирования. Они собрали комментарии акционеров и кредиторов, удалили идентифицирующие данные (псевдонимизировали данные) и отправили все в Deloitte для независимой оценки. Европейский надзорный орган по защите данных заявил, что это нарушило правила прозрачности, поскольку совет ненадлежащим образом раскрыл получателей при сборе данных.
Дело дошло до Люксембурга, и суд вынес три решения, которые имеют значение для всех, кто обрабатывает данные в ЕС.

Три ключевых решения

Во-первых: мнения по своей сути являются персональными данными. Когда вы выражаете мнение или комментарий, это выражение по своей природе относится к вам. Это кажется очевидным, но создает практические проблемы. Ваш отзыв о продукте, ваш комментарий на собрании акционеров, ваш отзыв на платформе — все это автоматически персональные данные.
Во-вторых, и это самое важное: псевдонимизированные данные не всегда являются персональными данными для всех. С точки зрения Совета директоров, который обладает ключом к повторной идентификации людей, комментарии оставались персональными данными, подпадающими под действие GDPR. Но для Deloitte получение псевдонимизированных комментариев без реальной возможности идентификации отдельных лиц может означать, что эти же комментарии вообще не являются персональными данными. Отсутствие персональных данных означает отсутствие обязательств по GDPR.
Прочитайте это еще раз, потому что это противоречит всему, что органы по защите данных говорили в течение семи лет.
Третье: обязательства по обеспечению прозрачности возникают на этапе сбора данных. Даже если данные становятся неперсональными для получателей после псевдонимизации, контролер должен раскрыть всех получателей до сбора данных (если он полагается на согласие). Это создает асимметрию — обязательства контролера являются абсолютными, но обязательства получателя зависят от его реальных возможностей.

Почему это важно для вашего бизнеса

Большинство технологических компаний рассматривали псевдонимизацию как меру безопасности, которая позволяет данным оставаться в рамках GDPR. Ваша юридическая команда, вероятно, говорила вам: «Псевдонимизированные данные по-прежнему являются персональными данными, поэтому нам необходимо полное соответствие требованиям». Это было верно, исходя из нормативных указаний. Суд просто заявил, что эти указания упускают суть.
Рассмотрим ваш аналитический конвейер. Вы псевдонимизируете данные пользователей перед отправкой их стороннему поставщику аналитических услуг. У этого поставщика нет доступа к вашему идентификационному ключу, нет разумного способа связать данные с конкретными лицами, и он обрабатывает данные исключительно в агрегированном виде. В соответствии с решением EDPS против SRB, они могут вообще не обрабатывать персональные данные. Не требуется оценка воздействия на защиту данных. Нет прав субъектов данных, которые необходимо обрабатывать. Нет записей в соответствии со статьей 30. Нет механизма передачи данных в соответствии с главой V, если они находятся за пределами ЕС.
Снижение затрат на соблюдение требований является существенным. Но это работает только в том случае, если псевдонимизация действительно эффективна, и вы можете документально подтвердить, почему получатель не может повторно идентифицировать отдельных лиц.

Проблема регулирования

Вот где начинается самое интересное. Европейский совет по защите данных (EDPB) опубликовал проект руководящих принципов по псевдонимизации в начале 2025 года. В этих руководящих принципах утверждается, что псевдонимизированные данные остаются персональными данными при любых обстоятельствах. EDPB рассматривает псевдонимизацию строго как меру безопасности в соответствии со статьей 32 GDPR, а не как метод исключения данных из сферы действия регламента.
Решение суда прямо противоречит этой позиции. Теперь перед EDPB стоит непростая задача пересмотра руководящих принципов, лежащих в основе многолетней практики надзорных органов по обеспечению соблюдения законодательства. Национальные регуляторы разработали методологии аудита, исходя из предположения, что получатели псевдонимизированных данных всегда обрабатывают персональные данные. Им потребуются новые подходы.
Потребуется время, чтобы эти подходы были внедрены. Следует ожидать периода регуляторной неопределенности, пока власти будут выяснять, как реализовать аргументацию суда, не создавая хаоса в сфере соблюдения законодательства.

Что это означает для передачи данных

В настоящее время стандартные договорные положения предполагают, что передаваемые данные являются персональными данными для всех сторон. Стандартные договорные положения Европейской комиссии 2021 года не предусматривают сценариев, когда получатель действительно не может идентифицировать отдельных лиц и, следовательно, обрабатывает неперсональную информацию.
Теперь вы можете столкнуться с ситуациями, когда:

1. Вы являетесь контроллером данных из ЕС и передаете псевдонимизированные данные американскому поставщику аналитических услуг
2. Вы сохраняете ключ повторной идентификации (поэтому для вас это персональные данные)
3. Поставщик не может повторно идентифицировать отдельных лиц (поэтому для них это могут быть не персональные данные)
4. Ваши стандартные договорные положения налагают на поставщика обязательства по защите персональных данных
5. Поставщик утверждает, что он вообще не обрабатывает персональные данные

Это создает трения. Некоторые получатели будут сопротивляться принятию обязательств по стандартным договорным положениям в отношении данных, которые они не считают персональными. Вам понадобятся дополнительные положения, определяющие, кто за что несет обязательства в таких разделенных сценариях. Юридические отделы будут рады оплачиваемым часам. Бизнес-подразделения — нет.

The Technical Implication: Pseudonymisation Just Got Serious

Решение суда создает серьезные стимулы для инвестирования в надежные методы псевдонимизации. Если вы можете продемонстрировать, что получатели действительно не могут повторно идентифицировать отдельных лиц, вы можете предложить им обработку данных вне рамок GDPR. Это привлекательное коммерческое предложение.
Но поверхностная псевдонимизация не сработает. Регуляторы будут тщательно проверять заявления о том, что данные не являются личными для получателей. Вам необходимо задокументировать:

• • Метод псевдонимизации и его техническую надежность
  • Почему повторная идентификация практически невозможна для получателя
  • Какая дополнительная информация потребуется для идентификации
  • Доступна ли такая информация получателю
  • Организационные меры защиты, предотвращающие повторную идентификацию

Подумайте о дифференциальной конфиденциальности, гомоморфном шифровании, безопасных многосторонних вычислениях. Технологии, которые позволяют проводить полезный анализ, предотвращая идентификацию даже опытными пользователями. Эти меры стоят денег, но преимущества в плане соответствия требованиям могут оправдать инвестиции.

Что насчет прав субъектов данных?

Это создает странную ситуацию. Вы являетесь контроллером данных в ЕС, псевдонимизируете данные и отправляете их трем получателям. Получатель А имеет возможность повторной идентификации (его персональные данные). Получатели B и C такой возможности не имеют (возможно, их персональные данные отсутствуют). Физическое лицо реализует свое право на удаление данных.
Вы обязаны удалить хранящиеся у вас данные. Статья 19 GDPR требует уведомить каждого получателя об удалении. Но статья 19 применяется к получателям, которым были раскрыты персональные данные. Если B и C не обрабатывают персональные данные, применяется ли статья 19? В решении суда этот вопрос явно не рассматривается.
Практическое решение: в любом случае уведомить всех получателей и позволить им самим решить, обрабатывают ли они персональные данные. Это позволит избежать риска пропуска уведомления, перекладывая при этом ответственность за оценку персональных данных на получателей.

Нерешенные вопросы

Решение суда порождает больше вопросов, чем дает ответов. Применима ли та же логика за пределами псевдонимизации? Информация может идентифицировать человека с вашей точки зрения (вы знаете контекст), но ничего не значить для получателя (у него нет информации о его прошлом). Может ли это также быть неличной информацией для получателя?
А как насчет отраслевого законодательства? Закон об ИИ, Закон о цифровых услугах и Директива о конфиденциальности в электронных коммуникациях содержат положения, касающиеся данных. Применяют ли они тот же контекстуальный подход к персональным данным? Мы пока не знаем.
Как работает оценка законных интересов при передаче данных, которые могут быть личными для вас, но не для получателей? Оцениваете ли вы влияние на конфиденциальность, основываясь только на вашей обработке, или учитываете использование данных получателем?
Эти вопросы будут занимать суды, регулирующие органы и юрисконсультов в течение многих лет.

Более широкий аспект

Дело EDPS против SRB представляет собой судебное признание технологической реальности. Закон о защите данных должен учитывать тот факт, что множество субъектов с различными возможностями обрабатывают одну и ту же информацию. Жесткий подход, рассматривающий все данные единообразно независимо от контекста, либо становится неработоспособным, либо расширяет регулирование за пределы его обоснования в рамках основных прав.
Суд выбрал контекстуальную оценку вместо категорических правил. Это лучше отражает то, как на самом деле работает обработка данных в 2025 году, сохраняя при этом надежную защиту там, где существует возможность идентификации. Будет ли такой подход приносить больше ясности в вопросах соответствия или больше неопределенности, зависит от того, насколько быстро регулирующие органы и специалисты адаптируются к новой системе.
На данный момент у технологических компаний есть четкий сигнал от Люксембурга: псевдонимизированные данные не являются автоматически персональными данными для всех. Используйте это знание стратегически, но тщательно документируйте свои аргументы. Регуляторы не примут просто так утверждения о том, что данные не являются персональными. Вам нужны доказательства.
Нужна консультация по тому, как это решение повлияет на ваши соглашения об обработке данных? Wolja Digital специализируется на обеспечении соответствия GDPR для технологических компаний. Мы предоставляем практические рекомендации по методам псевдонимизации, механизмам передачи данных и технологиям повышения конфиденциальности, которые действительно работают для разработки продуктов.