ΕΙΣΑΓΩΓΗ
Για όσους αναζητούν περισσότερες οδηγίες από το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) σχετικά με την έννοια των «προσωπικών δεδομένων» και, ειδικότερα, την έννοια του «έμμεσα αναγνωρίσιμου» φυσικού προσώπου σύμφωνα με το άρθρο 4 παράγραφος 1 GDPR, 2023 ήταν μια εξαιρετικά ευχάριστη χρονιά. Στις 26 Απριλίου 2023 το Γενικό Δικαστήριο αποφάσισε στην υπόθεση T-557/20 ( SRB κατά ΕΕΠΔ ) και, στις 9 Νοεμβρίου 2023, το ΔΕΚ εξέδωσε την απόφασή του στην υπόθεση C-319 /22 ( Gesamtverband ) . Αυτή η ανάρτηση ιστολογίου εστιάζει στην απόφαση του Δικαστηρίου στην υπόθεση Gesamtverband , συγκεκριμένα, στη βαθιά αινιγματική χρήση της λέξης «έμμεσα» σε σχέση με τα «προσωπικά δεδομένα».
Η υπόθεση αφορά μια διαμάχη μεταξύ της Scania, κατασκευαστή επαγγελματικών οχημάτων, αφενός, και, αφετέρου, της Gesamtverband Auto-Handel, μιας γερμανικής εμπορικής ένωσης ανεξάρτητων χονδρεμπόρων ανταλλακτικών οχημάτων. Το Gesamtverband ζήτησε, μεταξύ άλλων , από το αιτούν δικαστήριο (το περιφερειακό δικαστήριο, Κολωνία, Γερμανία) να διατάξει τη Scania να της παράσχει πρόσβαση στις πληροφορίες επισκευής και συντήρησης οχημάτων, τις οποίες έκρινε αναγκαίες για τη διασφάλιση του ανταγωνισμού στη δευτερογενή αγορά αυτοκινήτων οχημάτων, με βάση του άρθρου 61 παράγραφος 1 Κανονισμός 2018/858 . Σύμφωνα με αυτή τη διάταξη, «Οι κατασκευαστές παρέχουν στους ανεξάρτητους χειριστές απεριόριστη, τυποποιημένη και αμερόληπτη πρόσβαση σε πληροφορίες OBD οχήματος, διαγνωστικό και άλλο εξοπλισμό, εργαλεία συμπεριλαμβανομένων των πλήρους παραπομπών και των διαθέσιμων λήψεων, του εφαρμοστέου λογισμικού και των πληροφοριών επισκευής και συντήρησης οχήματος . […]». Η Gesamtverband ισχυρίστηκε ότι αυτή η διάταξη υποχρέωνε τη Scania να παρέχει σε όλους τους ανεξάρτητους φορείς εκμετάλλευσης (επίσης αυτούς στους οποίους δεν έχει εμπιστευθεί πελάτης την πραγματική επισκευή ενός οχήματος) πρόσβαση σε μια λίστα με τους μοναδικούς αριθμούς αναγνώρισης των οχημάτων (π.χ. Αριθμοί Αναγνώρισης Οχημάτων ή VIN ), αντί να περιορίζεται η πρόσβαση σε τέτοια VIN στους επισκευαστές.
Κατά συνέπεια, το αιτούν δικαστήριο υπέβαλε πολλές ερωτήσεις στο ΔΕΕ. Για τους σκοπούς αυτής της ανάρτησης ιστολογίου, η ακόλουθη ερώτηση είναι σχετική: «Το άρθρο 61 παράγραφος 1 του κανονισμού [2018/858] συνιστά, για τους κατασκευαστές οχημάτων, νομική υποχρέωση κατά την έννοια του άρθρου 6 παράγραφος 1 στοιχείο γ) του GDPR που δικαιολογεί την αποκάλυψη των VIN ή πληροφοριών που συνδέονται με VIN σε ανεξάρτητους φορείς εκμετάλλευσης ως άλλους ελεγκτές κατά την έννοια του σημείου 7 του άρθρου 4 του GDPR;».
Όπως συνόψισε ο γενικός εισαγγελέας Campos Sánchez-Bordona στις προτάσεις του στην υπόθεση, τα μέρη υποστήριξαν τα εξής: Η Scania ισχυρίστηκε ότι τα VIN ήταν προσωπικά δεδομένα σε σχέση με τους κατασκευαστές, επομένως, ο GDPR θα απαγόρευε την αποκάλυψή τους σε ανεξάρτητους φορείς χωρίς κατάλληλη νομική βάση (Γνωμοδότηση ΑΓ, παρ. 30). Η Gesamtverband υποστήριξε ότι τα VIN δεν ήταν προσωπικά δεδομένα σε σχέση με τους κατασκευαστές (Γνώμη AG, σκέψη 30). Πρόσθεσε ότι, ακόμη και αν ήταν, η Scania θα εξουσιοδοτηθεί να τις καταστήσει διαθέσιμες σε ανεξάρτητους φορείς εκμετάλλευσης, καθώς το άρθρο 61 παράγραφος 1 Κανονισμός 2018/858 συνιστά νομική υποχρέωση που καθιστά τη γνωστοποίηση νόμιμη σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο γ) GDPR (Γνωμοδότηση ΑΓ, παρ. 30).
ΕΥΡΗΜΑΤΑ
Το Δικαστήριο εξετάζει πρώτα εάν τα VIN είναι προσωπικά δεδομένα κατά την έννοια του άρθρου 4 παράγραφος 1 του ΓΚΠΔ , δηλαδή «κάθε πληροφορία που σχετίζεται με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο» (παρ. 44). Αναφέρει ότι οι πληροφορίες πρέπει να θεωρούνται προσωπικές όταν, «λόγω του περιεχομένου, του σκοπού και του αποτελέσματός τους» συνδέονται με ένα συγκεκριμένο πρόσωπο (παρ. 45). Αυτό είναι γενικά συνεπές με τα πορίσματα του Δικαστηρίου στην υπόθεση Nowak , όπου διευκρίνισε την έννοια του «σχετιζόμενου» με ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Στη συνέχεια, το Δικαστήριο εστιάζει στην έννοια του «προσδιορίσιμου». Αναφερόμενος στην απόφασή του-ορόσημο, Breyer , αναφέρει ότι «για να καθοριστεί εάν ένα φυσικό πρόσωπο μπορεί να ταυτοποιηθεί, άμεσα ή έμμεσα, θα πρέπει να ληφθούν υπόψη όλα τα μέσα που είναι εύλογα δυνατόν να χρησιμοποιηθούν είτε από τον υπεύθυνο επεξεργασίας […] είτε από οποιουδήποτε άλλου προσώπου, για την ταυτοποίηση αυτού του προσώπου, χωρίς ωστόσο να απαιτείται ότι όλες οι πληροφορίες που επιτρέπουν την ταυτοποίηση αυτού του προσώπου θα πρέπει να βρίσκονται στα χέρια μιας μόνο οντότητας» (παρ. 45).
Στη συνέχεια, το Δικαστήριο προχωρά στην εφαρμογή αυτών των αρχών στα πραγματικά περιστατικά της υπόθεσης. Αναφέρει ότι, δεδομένου ότι οι αριθμοί VIN εκχωρούνται σε ένα όχημα για να διασφαλιστεί η ορθή αναγνώριση του τελευταίου, δεν αποτελούν – ως εκ τούτου – δεδομένα προσωπικού χαρακτήρα (παρ. 46). Ενδέχεται, ωστόσο, να γίνουν προσωπικά δεδομένα για κάποιον που έχει εύλογα τα μέσα να συνδέσει το VIN με ένα συγκεκριμένο άτομο (παρ. 46). Το Δικαστήριο διευκρινίζει περαιτέρω ότι οι αριθμοί VIN πρέπει να εμφανίζονται στην άδεια κυκλοφορίας ενός οχήματος (παρ. 47). Όπως ορίζει ο νόμος, στο πιστοποιητικό αυτό πρέπει να αναφέρονται επίσης το όνομα και η διεύθυνση προσώπων που μπορεί να είναι φυσικά πρόσωπα, δηλαδή ο ιδιοκτήτης του οχήματος ή το πρόσωπο που μπορεί να χρησιμοποιήσει το όχημα εκτός του ιδιοκτήτη (παρ. 47). Όπως διευκρίνισε ο γενικός εισαγγελέας (προτάσεις AG, παρ. 40), τα πιστοποιητικά εγγραφής μπορεί επομένως να αποτελούν ένα από τα μέσα που επιτρέπουν τη σύνδεση VIN με φυσικά πρόσωπα. Κατά συνέπεια, σύμφωνα με το Δικαστήριο, το VIN αποτελεί προσωπικά δεδομένα των φυσικών προσώπων που αναφέρονται στην άδεια κυκλοφορίας, «εφόσον το πρόσωπο που έχει πρόσβαση σε αυτό μπορεί να έχει μέσα που του επιτρέπουν να το χρησιμοποιήσει για να αναγνωρίσει» τον ιδιοκτήτη του οχήματος ή χρήστης του οχήματος εκτός από τον ιδιοκτήτη (παρ. 48). Το Δικαστήριο, λοιπόν, κρίνει ότι:
«Όταν οι ανεξάρτητοι φορείς εκμετάλλευσης μπορούν εύλογα να έχουν στη διάθεσή τους τα μέσα που τους επιτρέπουν να συνδέσουν ένα VIN με ένα αναγνωρισμένο ή αναγνωρίσιμο φυσικό πρόσωπο, το οποίο εναπόκειται στο αιτούν δικαστήριο να εξετάσει, ότι το VIN αποτελεί προσωπικά δεδομένα για αυτούς , κατά την έννοια του άρθρου 4 (1) GDPR και, έμμεσα για τους κατασκευαστές οχημάτων που το καθιστούν διαθέσιμο, ακόμη και αν το VIN δεν είναι, από μόνο του, προσωπικά δεδομένα για αυτούς και δεν είναι προσωπικά δεδομένα για αυτούς, ιδίως όταν το όχημα στο οποίο έχει εκχωρηθεί το VIN δεν ανήκει σε φυσικό πρόσωπο» (παρ. 49, η υπογράμμιση δική μου).
Η συλλογιστική του Δικαστηρίου στη σκέψη 49 ακολουθεί αυτή που παρουσίασε ο γενικός εισαγγελέας στις προτάσεις του (Προτάσεις AG, σκέψη 41).
Δεύτερον, το Συνέδριο εξετάζει εάν, με την αποκάλυψη των VIN σε ανεξάρτητους φορείς, η Scania θα «επεξεργαζόταν» προσωπικά δεδομένα όπως ορίζεται στο άρθρο 4 παράγραφος 2 του GDPR. Θεωρεί ότι αυτό θα συνέβαινε (παρ. 51). Ως τρίτο και τελευταίο βήμα, το Δικαστήριο διαπιστώνει εάν ο κανονισμός 2018/858 επιβάλλει νομική υποχρέωση στη Scania να αποκαλύπτει τους αριθμούς VIN των οχημάτων της σε ανεξάρτητους φορείς εκμετάλλευσης, κατά την έννοια του άρθρου 6 παράγραφος 1 στοιχείο γ) GDPR (παρ. 55- 61). Η απάντηση και στο ερώτημα αυτό είναι καταφατική (παρ. 62).
ΚΡΙΤΙΚΕΣ ΠΑΡΑΤΗΡΗΣΕΙΣ
Η γενική διαπίστωση ότι τα VIN μπορεί να είναι προσωπικά δεδομένα για το μέρος που έχει τα εύλογα πιθανά μέσα να συνδέσει τα VIN με ένα αναγνωρισμένο ή αναγνωρίσιμο φυσικό πρόσωπο δεν αποτελεί έκπληξη. Επιβεβαιώνει την προσέγγιση της «αναγνωρισιμότητας» που διατυπώνεται στην αιτιολογική σκέψη 26 του GDPR και έχει ήδη υιοθετηθεί από το Δικαστήριο στην υπόθεση Breyer . Αυτό που είναι, υποστηρίζω, προβληματικό, ιδίως σε σχέση με τη σκέψη 49 της αποφάσεως, είναι το εξής. Πρώτον, το Δικαστήριο φαίνεται να έχει επινοήσει μια νέα έννοια των «έμμεσων προσωπικών δεδομένων». Δεύτερον, το Δικαστήριο φαίνεται ότι εφάρμοσε εσφαλμένα το πρότυπο Breyer στα πραγματικά περιστατικά της υπόθεσης. Αυτά τα δύο ζητήματα αναλύονται περαιτέρω παρακάτω.
(1) Μια νέα έννοια των «έμμεσων προσωπικών δεδομένων»;
Όπως προαναφέρθηκε, στη σκέψη 49 της απόφασης, το Δικαστήριο αναφέρει ότι το VIN θα μπορούσε «έμμεσα» να αποτελεί «προσωπικά δεδομένα» για τους κατασκευαστές οχημάτων. Η έννοια των έμμεσων προσωπικών δεδομένων είναι νέα και δεν μπορεί να βρεθεί στο κείμενο του GDPR, ούτε σε προηγούμενη νομολογία του ΔΕΕ για το θέμα. Το άρθρο 4 παράγραφος 1 του ΓΚΠΔ αναφέρει «έμμεσα» σε σχέση με «ένα αναγνωρίσιμο φυσικό πρόσωπο». Ομοίως, η αιτιολογική σκέψη 26 του GDPR κάνει λόγο για «μέσα που είναι εύλογα πιθανό να χρησιμοποιηθούν» για την ταυτοποίηση ενός φυσικού προσώπου «άμεσα ή έμμεσα». Στον GDPR, οι όροι «άμεσα» και «έμμεσα» αναφέρονται επομένως στην «αναγνωρισιμότητα», δηλαδή ένα στοιχείο του ορισμού των προσωπικών δεδομένων. Τα δεδομένα μπορούν να χαρακτηριστούν προσωπικά τόσο εάν επιτρέπουν την άμεση και έμμεση ταυτοποίηση του ατόμου. Το Δικαστήριο απεικόνισε αυτό στην υπόθεση Breyer και, σιωπηρά, στην υπόθεση SRB κατά ΕΕΠΔ . Στην υπόθεση Breyer , το ΔΕΕ έκρινε ότι μια δυναμική διεύθυνση IP – η οποία, ως τέτοια, δεν αποκάλυπτε την ταυτότητα του χρήστη – σχετίζεται « έμμεσα » με έναν «αναγνωριζόμενο» χρήστη, εάν μπορούσε να συνδυαστεί με «πρόσθετες πληροφορίες» που επέτρεπαν την αναγνώριση του χρήστη (η υπογράμμιση προστίθεται) ( Breyer , παρ. 41). Ομοίως, στην υπόθεση SRB κατά ΕΕΠΔ , το Γενικό Δικαστήριο έκρινε ότι ένας αλφαριθμητικός κωδικός –ο οποίος, ως τέτοιος, δεν αποκάλυπτε την ταυτότητα των επίμαχων υποκειμένων των δεδομένων– δεν ήταν πληροφορίες σχετικά με «αναγνωρισμένο φυσικό πρόσωπο» διότι «δεν καθιστούν δυνατή την άμεση αποκάλυψη της ταυτότητας» των υποκειμένων των δεδομένων (η υπογράμμιση δική μου) ( SRB κατά ΕΕΠΔ , παρ. 99). Όπως και το ΔΕΕ στην υπόθεση Breyer , έκρινε περαιτέρω ότι ήταν απαραίτητο να εξεταστεί εάν ο αλφαριθμητικός κωδικός θα μπορούσε, ωστόσο, να συνδυαστεί με πρόσθετες πληροφορίες που θα επέτρεπαν την ταυτοποίηση των υποκειμένων των δεδομένων ( SRB κατά ΕΕΠΔ , παρ. 104). Στην Gesamtverband , χρησιμοποιώντας τη λέξη «έμμεσα» σε σχέση με προσωπικά δεδομένα (όχι δυνατότητα ταυτοποίησης), το Δικαστήριο φαίνεται να εισάγει μια νέα διάσταση κατά την ταξινόμηση των προσωπικών δεδομένων, δηλαδή άμεση έναντι έμμεσης, κάτι που είναι ανήκουστο.
(2) Έμμεσα αναγνωρίσιμα δεδομένα «κατ' υπόθεση»;
Δεδομένης της καινοτομίας της έννοιας των «έμμεσων δεδομένων προσωπικού χαρακτήρα» – και του γεγονότος ότι ούτε ο γενικός εισαγγελέας ούτε το Δικαστήριο παρέχουν περαιτέρω εξηγήσεις σχετικά με τον τρόπο ερμηνείας τους – είναι πιθανό, όπως υποστηρίζουν ορισμένοι σχολιαστές , ο όρος «έμμεσα » και τα «προσωπικά δεδομένα» σε σχέση με τους κατασκευαστές οχημάτων, θα πρέπει να αντικατασταθούν από τα «πληροφορίες που αφορούν έμμεσα προσδιορίσιμο φυσικό πρόσωπο». Συνεπώς, θα μπορούσαμε να παραφράσουμε την παράγραφο 49 ως εξής:
- δεδομένου ότι οι ανεξάρτητοι φορείς μπορεί να διαθέτουν τα μέσα που είναι εύλογα πιθανό να συνδέσουν τα VIN με πρόσθετες πληροφορίες που ταυτοποιούν ένα φυσικό πρόσωπο, τα VIN μπορούν να αποτελούν προσωπικά δεδομένα για τους φορείς εκμετάλλευσης·
- Ως εκ τούτου , τα VIN είναι επίσης πληροφορίες που σχετίζονται με ένα (αν και «έμμεσα») αναγνωρίσιμο άτομο (και, ως εκ τούτου, αποτελούν προσωπικά δεδομένα) για τους κατασκευαστές οχημάτων.
Αυτό με οδηγεί στη δεύτερη κριτική μου παρατήρηση σχετικά με τη σκέψη 49 της αποφάσεως. Το Gesamtverband φαίνεται να αποκλίνει από το τεστ που ορίζεται στην αιτιολογική σκέψη 26 του GDPR, όπως διευκρινίστηκε για πρώτη φορά στην Breyer , για να προσδιορίσει εάν τα δεδομένα σχετίζονται με ένα έμμεσα αναγνωρίσιμο φυσικό πρόσωπο. Όπως προαναφέρθηκε, η αιτιολογική σκέψη 26 του ΓΚΠΔ προβλέπει ότι «για να καθοριστεί εάν ένα φυσικό πρόσωπο είναι αναγνωρίσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα που είναι εύλογα πιθανό να χρησιμοποιηθούν, όπως η εξαίρεση, είτε από τον υπεύθυνο επεξεργασίας είτε από άλλο πρόσωπο για την αναγνώριση του φυσικού προσώπου. πρόσωπο άμεσα ή έμμεσα». Στην υπόθεση Breyer , το Δικαστήριο διαπίστωσε, βάσει της αιτιολογικής σκέψης 26 της Οδηγίας 95/46/ΕΚ , ότι –με την επεξεργασία μιας δυναμικής διεύθυνσης IP– ένας πάροχος ιστότοπου επεξεργαζόταν προσωπικά δεδομένα, στο βαθμό που η γερμανική νομοθεσία δημιουργούσε, σε ορισμένες περιπτώσεις, τη δυνατότητα ο πάροχος, για να συνδυάσει τη διεύθυνση IP με τις πρόσθετες πληροφορίες που οδηγούν σε αναγνώριση που κατέχει άλλο άτομο (ο πάροχος υπηρεσιών Διαδικτύου) ( Breyer , παρ. 48). Κατά συνέπεια, το Δικαστήριο έκρινε ότι ο πάροχος του ιστότοπου διέθετε «τα μέσα που είναι εύλογα πιθανό να χρησιμοποιηθούν για την ταυτοποίηση του υποκειμένου των δεδομένων» ( Breyer , σκέψη 48). Το Γενικό Δικαστήριο υιοθέτησε την ίδια προσέγγιση στην υπόθεση SRB κατά ΕΕΠΔ . Εκεί, διαπίστωσε ότι, για να εξακριβωθεί εάν ο αλφαριθμητικός κωδικός ήταν προσωπικά δεδομένα του παραλήπτη του κωδικού (δηλαδή της Deloitte), έπρεπε να εξεταστεί εάν αυτός ο παραλήπτης διέθετε τα εύλογα πιθανά μέσα για να αναγνωρίσει τα πρόσωπα στα οποία αφορούσε ο κωδικός. , συνδυάζοντας τον κωδικό με πρόσθετες πληροφορίες που επέτρεπαν την ταυτοποίηση και που κατείχε άλλο πρόσωπο, δηλαδή το Ενιαίο Συμβούλιο Εξυγίανσης ( SRB κατά ΕΕΠΔ , παρ. 104). Στην παράγραφο 49 του Gesamtverband , το Δικαστήριο απαιτεί ορθά από το αιτούν δικαστήριο να εφαρμόσει τη δοκιμή «μέσα που είναι εύλογα πιθανό να χρησιμοποιηθούν» για να διαπιστώσει εάν τα VIN είναι προσωπικά για τους ανεξάρτητους φορείς. Παραδόξως, ωστόσο, αποτυγχάνει να κάνει το ίδιο, όταν πρόκειται να εξακριβώσει εάν τα VIN είναι έμμεσα αναγνωρίσιμα δεδομένα για τον κατασκευαστή. Αντιθέτως, φαίνεται να υποθέτει ότι, εάν οι ανεξάρτητοι φορείς έχουν τα μέσα που είναι εύλογα πιθανό να προσδιορίσουν τα φυσικά πρόσωπα με τα οποία σχετίζονται τα VIN, το ίδιο ισχύει και για τους κατασκευαστές οχημάτων. Εάν υπήρχαν ορισμένοι συγκεκριμένοι λόγοι για αυτήν την υπόθεση, που δικαιολογούν την παράκαμψη της εφαρμογής της δοκιμής «μέσα που είναι εύλογα πιθανό να χρησιμοποιηθούν» στους κατασκευαστές οχημάτων, θα περίμενε κανείς να τους αναφέρει το Δικαστήριο (και ο γενικός εισαγγελέας). Στην προκειμένη περίπτωση όμως δεν αναφέρεται τέτοιος λόγος. Ως εκ τούτου, αφήνουμε να αναρωτηθούμε γιατί δεδομένα που είναι έμμεσα αναγνωρίσιμα σε ένα μέρος πρέπει, κατ' υπόθεση, να πληρούν τις προϋποθέσεις και για το άλλο μέρος.
Αυτή η ερμηνεία θα μπορούσε (δυστυχώς) να σηματοδοτήσει μια απομάκρυνση από τη λεγόμενη σχετική προσέγγιση των προσωπικών δεδομένων, υπέρ μιας πιο απόλυτης. Όπως εξηγείται αλλού , σύμφωνα με μια απόλυτη προσέγγιση των προσωπικών δεδομένων, «εάν κάποιος είναι σε θέση να προσδιορίσει ένα υποκείμενο δεδομένων με βάση τα επίμαχα δεδομένα, τότε αυτά τα δεδομένα θεωρούνται προσωπικά για κάθε μέρος που επεξεργάζεται αυτά τα δεδομένα». Σύμφωνα με τη σχετική προσέγγιση, «η πιθανότητα επαναπροσδιορισμού αξιολογείται από την οπτική γωνία ενός πιο περιορισμένου αριθμού μερών, δηλαδή του υπεύθυνου επεξεργασίας και ενός τρίτου μέρους που είναι εύλογα πιθανό να προσεγγιστεί ή να προσεγγίσει τον υπεύθυνο επεξεργασίας». Η απόφαση του Γενικού Δικαστηρίου στην υπόθεση SRB κατά ΕΕΠΔ ερμηνεύτηκε από τον Lodie, σε προηγούμενη ανάρτηση σε αυτό το ιστολόγιο, ως υποστήριξη της σχετικής προσέγγισης και ως μέρος μιας ευρύτερης τάσης στη νομολογία του Δικαστηρίου για περιορισμό της έννοιας των προσωπικών δεδομένων. Συγκεκριμένα, στην υπόθεση SRB κατά ΕΕΠΔ , το Γενικό Δικαστήριο έκρινε ότι, για να εξακριβωθεί εάν η αποκάλυψη αλφαριθμητικών κωδικών από τον διαμοιραστή (SRB) στον αποδέκτη (Deloitte) ήταν επεξεργασία δεδομένων προσωπικού χαρακτήρα, δεν αρκούσε να εξεταστεί εάν οι κωδικοί χαρακτηρίζεται ως προσωπική για τον μερίδιο. Έπρεπε (επίσης) να εξεταστεί εάν οι κωδικοί ήταν έμμεσα αναγνωρίσιμοι, άρα προσωπικά δεδομένα, από την οπτική γωνία του παραλήπτη. Αυτή η προσέγγιση εμφανίζεται σε αντίθεση με αυτήν που υιοθέτησε το Δικαστήριο στην υπόθεση Gesamtverband , όπου το γεγονός ότι τα δεδομένα είναι έμμεσα αναγνωρίσιμα από τον αποδέκτη (δηλαδή τους ανεξάρτητους φορείς εκμετάλλευσης), σημαίνει ότι είναι, αυτόματα, ταυτοποιήσιμα και από τον διαμοιραστή (δηλαδή το όχημα κατασκευαστής). Σκόπευε έτσι το ΔΕΕ να αναστρέψει την προαναφερθείσα τάση περιορισμού της έννοιας των προσωπικών δεδομένων, υπέρ μιας ευρύτερης ερμηνείας της έννοιας; Ως προς αυτό, αξίζει να σημειωθεί ότι η απόφαση του Γενικού Δικαστηρίου στην υπόθεση SRB κατά ΕΕΠΔ έχει ασκήσει έφεση από το EPDS και ότι η υπόθεση εκκρεμεί επί του παρόντος ενώπιον του ΔΕΚ. Η παρούσα προσφυγή μπορεί, επομένως, να παράσχει στο Δικαστήριο την ευκαιρία να διευκρινίσει ποια προσέγγιση προτίθεται να ακολουθήσει.
Τέλος, και το πιο παράδοξο, η ερμηνεία της παραγράφου 49 που προσφέρεται παραπάνω μπορεί να έχει ως αποτέλεσμα ένα μέρος (σε αυτήν την περίπτωση, οι κατασκευαστές οχημάτων) να επεξεργάζεται προσωπικά δεδομένα και, επομένως, αυτή η επεξεργασία εμπίπτει στο πεδίο εφαρμογής του GDPR, χωρίς καν να το γνωρίζει. Πράγματι, όπως παρατηρήθηκε από άλλους σχολιαστές , μπορεί κανείς να αναρωτηθεί πώς υποτίθεται ότι οι κατασκευαστές οχημάτων γνωρίζουν (i) εάν και (ii) ποιοι ανεξάρτητοι φορείς έχουν τα μέσα που είναι εύλογα πιθανό να χρησιμοποιηθούν για τη σύνδεση των VIN με ένα φυσικό πρόσωπο και, ως εκ τούτου, επεξεργασία προσωπικών δεδομένων ; Θα περίμενε το Συνέδριο οι ανεξάρτητοι φορείς εκμετάλλευσης να ενημερώσουν τους κατασκευαστές οχημάτων για το θέμα; Ο ίδιος ο GDPR είναι σιωπηλός σε αυτό το σημείο.
Όπως προκύπτει από τα παραπάνω, είναι δύσκολο να κατανοήσει κανείς τη διαπίστωση του Δικαστηρίου στην υπόθεση Gesamtverband ότι «[…] τα VIN είναι (έμμεσα) [προσωπικά δεδομένα] για τους κατασκευαστές οχημάτων […]». Ας ελπίσουμε ότι το Δικαστήριο θα διευκρινίσει αυτή την έννοια σε μελλοντική νομολογία.