Στις 7 Μαρτίου 2024, το ΔΕΚ εξέδωσε δύο πολύ σημαντικές αποφάσεις σχετικά με την έκταση του ορισμού των «δεδομένων προσωπικού χαρακτήρα» βάσει της νομοθεσίας της ΕΕ για την προστασία δεδομένων στις υποθέσεις C-479/22 P και C-604/22 .
Η τελευταία περίπτωση αφορά έναν βελγικό μη κερδοσκοπικό οργανισμό που ονομάζεται IAB Europe, ο οποίος σχεδίασε ένα εργαλείο, ένα πλαίσιο που ονομάζεται TCF, με σκοπό να επιτρέψει στους παρόχους ιστοτόπων και στους μεσίτες δεδομένων να επεξεργάζονται νόμιμα δεδομένα προσωπικού χαρακτήρα (βλέπε παράγραφο 20).
Οι προτιμήσεις που επιλέγει ένας χρήστης μέσω μιας πλατφόρμας διαχείρισης συναίνεσης (CMP) κωδικοποιούνται στη συνέχεια στη συμβολοσειρά TCF που είναι ένας συνδυασμός γραμμάτων και χαρακτήρων. Το CMP τοποθετεί ένα cookie στη συσκευή του χρήστη, έτσι ώστε το cookie και η συμβολοσειρά TCF να μπορούν να συνδεθούν με τη διεύθυνση IP του χρήστη (βλ. Παράγραφο 25). Το Δικαστήριο ρωτήθηκε εάν, στο πλαίσιο αυτό, μια συμβολοσειρά χαρακτήρων που περιέχει τις προτιμήσεις ενός χρήστη ιστού θα μπορούσε να θεωρηθεί προσωπικά δεδομένα στα χέρια του IAB Europe και εάν το IAB Europe θα μπορούσε να θεωρηθεί σε αυτό το σενάριο ως (κοινός) ελεγκτής.
Η πρώτη υπόθεση, η οποία έχει ήδη συζητηθεί εδώ , αφορά έναν Έλληνα ερευνητή που βρισκόταν υπό έρευνα από την Ευρωπαϊκή Υπηρεσία Καταπολέμησης της Απάτης (OLAF) για καταγγελίες σχετικά με ενδεχόμενο οικονομικό παράπτωμα μετά την κατανομή κεφαλαίων που χορηγήθηκαν από τον Εκτελεστικό Οργανισμό του Ευρωπαϊκού Συμβουλίου Έρευνας (ΕΕΕ). ERCEA) για την εκτέλεση ερευνητικού έργου.
Η OLAF δημοσίευσε ένα δελτίο τύπου σχετικά με την εν εξελίξει έρευνα και τα αποτελέσματά της, η οποία οδήγησε στην ταυτοποίηση του ερευνητή από δημοσιογράφους. Έτσι, ο ερευνητής προσέφυγε στο Γενικό Δικαστήριο υποστηρίζοντας ότι η OLAF παραβίασε τον κανονισμό 2018/1725 , ο οποίος είναι ο κανονισμός σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα θεσμικά όργανα, τους φορείς, τα γραφεία και τους οργανισμούς της Ένωσης καθώς και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (EUDPR). ως δικαίωμα της στο τεκμήριο της αθωότητας.
Στην προκειμένη περίπτωση –και χωρίς να εμβαθύνει σε πολλές λεπτομέρειες– το Γενικό Δικαστήριο στην υπόθεση T-384/20 έκρινε βασικά ότι το δελτίο τύπου δεν μπορούσε να θεωρηθεί ως προσωπικά δεδομένα, καθώς ο Γερμανός δημοσιογράφος που αναγνώρισε εκ νέου τον ερευνητή ήταν δημοσιογράφος ερευνητής με ιδιαίτερη γνώση σε αυτό το θέμα και δεν θα μπορούσε να θεωρηθεί ως «μέσος αναγνώστης» («lecteur moyen» στα γαλλικά). Ο ενάγων άσκησε έφεση κατά της απόφασης, η οποία οδήγησε στην έκδοση της απόφασης του ΔΕΚ στην υπόθεση C-479/22 P
Στις επόμενες δύο ενότητες θα συζητήσουμε πώς αυτές οι δύο αποφάσεις του ΔΕΚ φαίνεται να περιορίζουν τη σχετική προσέγγιση του τι συνιστά δεδομένα προσωπικού χαρακτήρα, καθώς το Δικαστήριο υιοθετεί έναν ορισμό της έννοιας των δεδομένων προσωπικού χαρακτήρα που είναι πιο προστατευτικός για τα υποκείμενα των δεδομένων. Τελικά, στην τελευταία ενότητα υποστηρίζεται ότι αυτές οι αποφάσεις δεν πρέπει να υπερερμηνεύονται καθώς περιορίζουν τη σχετική προσέγγιση, χωρίς να την αποκλείουν πραγματικά.
Υπόθεση C-479/22 P και ο περιορισμός της σχετικής προσέγγισης
Όπως αναφέρθηκε προηγουμένως, ο ενάγων άσκησε έφεση κατά της απόφασης του Γενικού Δικαστηρίου με το αιτιολογικό ότι το δελτίο τύπου αποτελούσε όντως πληροφορίες σχετικά με ένα αναγνωρίσιμο πρόσωπο και ότι το Δικαστήριο παρερμήνευσε την έννοια του «μέσου που είναι εύλογα πιθανό να χρησιμοποιηθεί» για την ταυτοποίηση ενός ατόμου. Ουσιαστικά, ο ενάγων αμφισβήτησε το γεγονός ότι το Δικαστήριο έκρινε ότι το δελτίο τύπου δεν ήταν προσωπικά δεδομένα.
Αυτή η απόφαση του Γενικού Δικαστηρίου είναι σύμφωνη με την υπόθεση SRB κατά ΕΕΠΔ που συζητήθηκε εδώ (βλ. επίσης Spajic ), όπου το Γενικό Δικαστήριο έκρινε ότι αν και όταν τα δεδομένα μπορούσαν να θεωρηθούν ψευδώνυμα (και επομένως προσωπικά δεδομένα σύμφωνα με τον ΕΕΠΔ ), έπρεπε να εξεταστεί εάν ο αποδέκτης αυτών των δεδομένων θα μπορούσε (εύλογα και νόμιμα) να λάβει τις πρόσθετες πληροφορίες που απαιτούνται για την εκ νέου ταυτοποίησή τους προκειμένου να χαρακτηριστούν τα δεδομένα ως προσωπικά. Αρνητικά, τα δεδομένα δεν θα μπορούσαν να θεωρηθούν προσωπικά δεδομένα και επομένως το δικαίωμα στην ενημέρωση δεν θα ισχύει.
Και οι δύο υποθέσεις καταδεικνύουν μια ορισμένη τάση από το Γενικό Δικαστήριο προς μια σχετική προσέγγιση ως προς το τι μπορεί να θεωρηθεί «προσωπικά δεδομένα» και μια αποδυνάμωση της προστασίας δεδομένων, καθώς περιόρισε την έκταση της έννοιας των δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με αυτή τη σχετική προσέγγιση, τα δεδομένα δεν είναι προσωπικά ή μη προσωπικά από τη φύση τους. Η νομική τους ιδιότητα εξαρτάται από την ικανότητα των οργανισμών που τα κατέχουν να τους επαναπροσδιορίσουν. Αυτή η προσέγγιση είχε σκιαγραφηθεί στη διάσημη υπόθεση Breyer του ΔΕΚ.
Στην υπόθεση C-479/22 P, το Δικαστήριο όφειλε επομένως να καθορίσει εάν η απόφαση του Γενικού Δικαστηρίου ήταν ακριβής θεωρώντας ότι ένα δελτίο τύπου που περιείχε πληροφορίες σχετικά με πιθανή απάτη που διέπραξε ένας ερευνητής δεν ήταν προσωπικά δεδομένα, παρόλο που ο εν λόγω ερευνητής ήταν στη συνέχεια επαναπροσδιορίστηκε από δημοσιογράφους. Από μια ευρύτερη σκοπιά, μια από τις κύριες προκλήσεις της απόφασης ήταν να εξεταστεί εάν το ΔΕΚ θα υποστήριζε τη συλλογιστική του Γενικού Δικαστηρίου όσον αφορά τη σχετική προσέγγιση του ορισμού της έννοιας των δεδομένων προσωπικού χαρακτήρα.
Στην πραγματικότητα, το ΔΕΚ υιοθέτησε μια πολύ πιο «προστατευτική» στάση από αυτή του Γενικού Δικαστηρίου. Πράγματι, υπενθύμισε ότι, για να θεωρηθούν δεδομένα προσωπικού χαρακτήρα, δεν είναι απαραίτητο να αναγνωρίζονται τα άτομα απευθείας από τις πληροφορίες που περιέχονται στο δελτίο τύπου. Αντιθέτως, πρέπει να ληφθούν υπόψη και πρόσθετες πληροφορίες (βλ. παράγραφο 53).
Από αυτό το υπόβαθρο, το ΔΕΚ κατέληξε στο συμπέρασμα ότι « είναι εγγενές στην «έμμεση ταυτοποίηση» ενός ατόμου ότι πρέπει να συνδυάζονται πρόσθετες πληροφορίες με τα επίμαχα δεδομένα για τους σκοπούς της ταυτοποίησης του ενδιαφερόμενου προσώπου. Επομένως, το γεγονός ότι αυτές οι πρόσθετες πληροφορίες προέρχονται από πρόσωπο ή πηγή διαφορετική από εκείνη του υπεύθυνου επεξεργασίας των εν λόγω δεδομένων δεν αποκλείει σε καμία περίπτωση την αναγνωρίσιμη φύση ενός προσώπου » (Σκέψη 55, η υπογράμμιση δική μου) .
Αυτός ο ισχυρισμός είναι υψίστης σημασίας για να κατανοήσουμε πώς το Δικαστήριο περιορίζει το πεδίο εφαρμογής της σχετικής προσέγγισης. Εδώ, το Δικαστήριο θεωρεί ότι ανεξάρτητα από το ποιος έχει τις πρόσθετες πληροφορίες που είναι απαραίτητες για την εκ νέου αναγνώριση ενός υποκειμένου των δεδομένων, εφόσον υπάρχουν τέτοιες πληροφορίες, τα δεδομένα πρέπει να θεωρούνται προσωπικά.
Αυτός είναι ο λόγος για τον οποίο, στην ίδια γραμμή σκέψης, το Δικαστήριο υπογραμμίζει επίσης ότι « ο κανονισμός 2018/1725 δεν θέτει όρους όσον αφορά τα πρόσωπα που μπορούν να ταυτοποιήσουν το πρόσωπο με το οποίο συνδέεται μια πληροφορία, δεδομένου ότι η αιτιολογική σκέψη 16 του Ο κανονισμός αναφέρεται όχι μόνο στον υπεύθυνο επεξεργασίας αλλά και σε «άλλο πρόσωπο» » (παράγραφος 56).
Αυτό σηματοδοτεί μια τεράστια διαφορά σε σχέση με το επιχείρημα του Γενικού Δικαστηρίου, όχι μόνο στην παρούσα υπόθεση, αλλά και στην υπόθεση SRB κατά ΕΕΠΔ, όπου το Δικαστήριο έκρινε ότι η αξιολόγηση της δυνατότητας εκ νέου ταυτοποίησης δεδομένων έπρεπε να γίνει πραγματοποιείται από την οπτική γωνία του παραλήπτη των δεδομένων και όχι με αφηρημένο και απόλυτο τρόπο.
Στην προκειμένη περίπτωση, η λογική του Δικαστηρίου είναι ουσιαστικά ότι, παρά το γεγονός ότι οι δημοσιογράφοι ερευνητές έχουν προσωπικές (και ιδιαίτερες) γνώσεις που δεν έχει ένας «μέσος αναγνώστης», τα δεδομένα πρέπει να εξακολουθούν να θεωρούνται προσωπικά δεδομένου ότι τα μέσα που χρησιμοποιούνται για την επαναπροσδιορισμό του ερευνητή δεν ήταν αδικαιολόγητα πιθανό να χρησιμοποιηθούν.
Αυτή η απόφαση πρέπει να διαβαστεί σε σχέση με μια άλλη απόφαση που κυκλοφόρησε την ίδια ημέρα από το ΔΕΚ, στην υπόθεση που αφορά το IAB Europe.
Υπόθεση C‑604/22: Προς μια πιο αντικειμενική προσέγγιση της έννοιας των δεδομένων προσωπικού χαρακτήρα;
Αυτή η υπόθεση ασχολείται κυρίως με το ζήτημα του κατά πόσον η IAB Europe – δεδομένου ότι παρέχει στα μέλη της ένα πλαίσιο που τους επιτρέπει να συμμορφώνονται με τον GDPR – θα μπορούσε να θεωρηθεί ως (κοινός) υπεύθυνος επεξεργασίας. Ωστόσο, πριν εξετάσει αυτό το ζήτημα, το Δικαστήριο έπρεπε να αποφασίσει εάν η συμβολοσειρά TCF, ως συνδυασμός γραμμάτων και χαρακτήρων, θα μπορούσε να θεωρηθεί προσωπικά δεδομένα. Για να γίνει αυτό, το Συνέδριο έπρεπε να αξιολογήσει εάν ο συνδυασμός της συμβολοσειράς TCF με πρόσθετα δεδομένα, όπως η διεύθυνση IP, θα μπορούσε να καταστήσει δυνατή την εκ νέου αναγνώριση.
Αξίζει να υπογραμμιστεί εδώ ότι το IAB Europe δεν διαθέτει αυτές τις πληροφορίες και επομένως δεν μπορεί να συνδυάσει άμεσα αυτά τα δεδομένα. Για το θέμα αυτό, το Δικαστήριο δήλωσε ότι «[i] n στο βαθμό που συσχετίζεται μια συμβολοσειρά που αποτελείται από συνδυασμό γραμμάτων και χαρακτήρων, όπως η συμβολοσειρά TC, με πρόσθετα δεδομένα, μεταξύ άλλων με τη διεύθυνση IP της συσκευής ενός χρήστη ή με άλλα αναγνωριστικά, επιτρέπει την αναγνώριση αυτού του χρήστη, πρέπει να θεωρηθεί ότι η συμβολοσειρά TC περιέχει πληροφορίες που αφορούν έναν αναγνωρίσιμο χρήστη και επομένως συνιστά προσωπικά δεδομένα […] Η ερμηνεία αυτή δεν μπορεί να αμφισβητηθεί από το γεγονός και μόνο ότι το IAB Europe δεν μπορεί να συνδυάσει TC String με τη διεύθυνση IP της συσκευής ενός χρήστη και δεν έχει τη δυνατότητα άμεσης πρόσβασης στα δεδομένα που επεξεργάζονται τα μέλη του στο πλαίσιο του TCF» (Βλ. παραγράφους 45 και 46).
Είναι ενδιαφέρον ότι το Συνέδριο καταλήγει στο συμπέρασμα ότι, παρόλο που η IAB Europe δεν είναι σε θέση να συνδυάσει τη συμβολοσειρά TC με τη διεύθυνση IP και δεν έχει πρόσβαση σε δεδομένα που επεξεργάζονται τα μέλη της, οι συμβολοσειρές TCF εξακολουθούν να περιέχουν προσωπικά δεδομένα και πρέπει να αντιμετωπίζονται ως τέτοιες. Το Δικαστήριο φαίνεται να χαρακτηρίζει το TCF String ως προσωπικά δεδομένα, χωρίς περαιτέρω εξέταση ως προς το εάν το IAB Europe μπορεί, στην πράξη, να επαναπροσδιορίσει τα δεδομένα.
Με άλλα λόγια, μπορεί να υποστηριχθεί ότι το Δικαστήριο υιοθετεί μια πιο αντικειμενική άποψη για το τι συνιστά δεδομένα προσωπικού χαρακτήρα. Πρέπει να υπενθυμιστεί ότι στην υπόθεση Breyer , το Δικαστήριο δήλωσε ότι η δυνατότητα μιας οντότητας να αποκτήσει πρόσβαση στις πρόσθετες πληροφορίες που είναι απαραίτητες για τον επαναπροσδιορισμό των υποκειμένων των δεδομένων ήταν αυτή που καθόριζε εάν η εν λόγω οντότητα επεξεργαζόταν προσωπικά δεδομένα. Εδώ, αντιστρόφως, το Δικαστήριο τείνει να θεωρεί ότι ακόμη και στην περίπτωση που το IAB Europe δεν μπορεί να έχει άμεση πρόσβαση σε δεδομένα ούτε να τα συνδυάσει, τα δεδομένα παραμένουν προσωπικά.
Παρά αυτή την αποστασιοποίηση του ΔΕΚ από το Γενικό Δικαστήριο, το εύρος και το ενδιαφέρον αυτών των δύο αποφάσεων δεν πρέπει να υπερεκτιμηθούν, όπως αναλύεται στην επόμενη ενότητα.
Γιατί η σχετική προσέγγιση εξακολουθεί να είναι σχετική;
Στην υπόθεση C-479/22 P, είναι αναμφισβήτητο ότι το ΔΕΚ έχει ακολουθήσει μια πιο προστατευτική άποψη για το τι συνιστά προσωπικά δεδομένα. Όπως αναφέρθηκε προηγουμένως, έκρινε ότι ανεξάρτητα από το ποιος λαμβάνει τις πρόσθετες πληροφορίες που απαιτούνται για τον επαναπροσδιορισμό των υποκειμένων των δεδομένων, τα δεδομένα θα πρέπει να θεωρούνται προσωπικά εφόσον υπάρχουν αυτές οι πληροφορίες.
Ωστόσο, αυτό το ρητό δεν πρέπει να υπερεκτιμάται γιατί εξαρτάται πολύ από το πλαίσιο. Πράγματι, στον πυρήνα της επιχειρηματολογίας του, το Δικαστήριο ορίζει ότι « όπως προκύπτει από τη σκέψη 66 της αναιρεσιβαλλομένης αποφάσεως, η περιγραφή στον ιστότοπο του ERCEA των 70 περίπου έργων που χρηματοδοτήθηκαν από τον εν λόγω οργανισμό, τα ιδρύματα υποδοχής του οποίου βρίσκονταν στην Ελλάδα , περιείχε αρκετούς βασικούς παράγοντες που επέτρεπαν στους χρήστες του Διαδικτύου να βρίσκουν τις πληροφορίες που αναζητούν, όπως το όνομα του διαχειριστή του έργου ή το όνομα του ιδρύματος υποδοχής ή ακόμη και το ποσό της χρηματοδότησης» (παράγραφος 62). Στη συνέχεια, το Δικαστήριο έκρινε ότι, όσον αφορά αυτές τις πληροφορίες, οι οποίες ήταν διαθέσιμες στο κοινό, η περιήγηση στην περιγραφή αυτών των 70 έργων δεν συνεπαγόταν «δυσανάλογη» προσπάθεια (παράγραφος 63).
Με άλλα λόγια, το Δικαστήριο εξακολουθεί να τάσσεται υπέρ της σχετικής προσέγγισης και δηλώνει μόνο ότι η επαναπροσδιορισμός μέσω βασικής περιήγησης είναι ένα παράδειγμα εύλογου μέσου που είναι πιθανό να χρησιμοποιηθεί για τον επαναπροσδιορισμό δεδομένων. Δεν μπορεί να συναχθεί από αυτή την απόφαση πού πρέπει να τεθεί ο πήχης μεταξύ εύλογων και παράλογων μέσων. Συλλογιζόμενος με αφηρημένο τρόπο, θα ρωτούσε κανείς εάν η λύση θα ήταν η ίδια εάν τα έργα που περιγράφονται ήταν αρκετές χιλιάδες. Για άλλη μια φορά, δείχνει ότι η συλλογιστική του Δικαστηρίου εξακολουθεί να βασίζεται στις πρόσθετες διαθέσιμες πληροφορίες, ποιος τις έχει και ποιος μπορεί να έχει πρόσβαση σε αυτές. Εδώ, καθώς ο τομέας της έρευνας ήταν αρκετά στενός (μόνο 70 έργα) και δεδομένου ότι οποιοσδήποτε χρήστης του διαδικτύου μπορούσε να έχει πρόσβαση στις απαιτούμενες πληροφορίες και να περιηγηθεί για να ελέγξει τις πληροφορίες, το Συνέδριο καταλήγει λογικά στο συμπέρασμα ότι η επαναναγνώριση δεν συνεπάγεται δυσανάλογη προσπάθεια. Επομένως, δεν θα πρέπει να ερμηνευθεί ως αντιστροφή του δόγματος του Δικαστηρίου.
Επιπλέον, στην υπόθεση C‑604/22, στην οποία εμπλέκεται η IAB Europe, το Δικαστήριο χρησιμοποίησε την ίδια συλλογιστική που είχε στην υπόθεση Breyer . Ωστόσο, όπως αναφέρθηκε προηγουμένως, φάνηκε να ανοίγει την πόρτα σε μια πιο «αντικειμενική» προσέγγιση των προσωπικών δεδομένων. Αυτή η «προστατευτική» προσέγγιση υλοποιείται θεωρώντας ότι ανεξάρτητα από το ποιος κατέχει πρόσθετα δεδομένα, εάν τα δεδομένα μπορούν να επαναπροσδιοριστούν μέσω της χρήσης πρόσθετων πληροφοριών, τα δεδομένα πρέπει να θεωρούνται προσωπικά δεδομένα.
Για άλλη μια φορά, αυτό το συμπέρασμα πρέπει να εξεταστεί με προσοχή. Πράγματι, το Δικαστήριο υποστηρίζει ότι «από τα έγγραφα ενώπιον του Δικαστηρίου, και ιδίως από την απόφαση της 2ας Φεβρουαρίου 2022, προκύπτει ότι τα μέλη της IAB Europe οφείλουν να παράσχουν στον οργανισμό αυτόν, κατόπιν αιτήματός του, όλες τις πληροφορίες που επιτρέπουν για τον εντοπισμό των χρηστών των οποίων τα δεδομένα αποτελούν αντικείμενο συμβολοσειράς TC » (παράγραφος 48). Το γεγονός ότι το IAB Europe μπορεί να απαιτήσει πρόσθετες πληροφορίες από τα μέλη του φαίνεται να είναι ο αποφασιστικός παράγοντας για να θεωρηθούν δεδομένα που υποβάλλονται σε επεξεργασία από το IAB Europe ως προσωπικά δεδομένα. Το Δικαστήριο συμπεραίνει από το ιστορικό αυτό ότι «[i]φαίνεται επομένως, με την επιφύλαξη των επαληθεύσεων που πρέπει να διενεργήσει το αιτούν δικαστήριο σχετικά, ότι η IAB Europe διαθέτει […] εύλογα μέσα που της επιτρέπουν να ταυτοποιήσει ένα συγκεκριμένο φυσικό πρόσωπο από μια συμβολοσειρά TC» (Παράγραφος 49) .
Αυτή η κρίση είναι επομένως απόλυτα σύμφωνη με τον Breyer . Στην υπόθεση Breyer, το Δικαστήριο έκρινε ότι υπήρχαν, σύμφωνα με το γερμανικό δίκαιο, νομικοί δίαυλοι που επέτρεπαν σε έναν πάροχο υπηρεσιών web να λάβει πρόσθετα δεδομένα από παρόχους υπηρεσιών Διαδικτύου για να επαναπροσδιορίσει τα υποκείμενα των δεδομένων στα οποία ανήκουν οι διευθύνσεις IP. Εδώ, το IAB Europe μπορεί να απαιτήσει πρόσθετες πληροφορίες από τα μέλη του, ώστε η πρόσβαση σε πρόσθετες πληροφορίες να είναι εύλογα πιθανή. Προκύπτει ότι αυτά τα δεδομένα είναι προσωπικά στα χέρια του IAB Europe, καθώς ο οργανισμός μπορεί να τα αναγνωρίσει εκ νέου χρησιμοποιώντας εύλογες προσπάθειες.
Και στις δύο περιπτώσεις, οι αποφάσεις φαίνονται να είναι φιλικές προς το υποκείμενο των δεδομένων με την πρώτη ματιά, και στην πραγματικότητα είναι, καθώς το αποτέλεσμα είναι ότι οι υπεύθυνοι επεξεργασίας δεδομένων επεξεργάζονται προσωπικά δεδομένα και επομένως υπόκεινται στον GDPR. Ωστόσο, εδώ υποστηρίζεται ότι αυτές οι δύο αποφάσεις δεν αμφισβητούν τον ορισμό των προσωπικών δεδομένων ούτε τη σχετική προσέγγιση που υιοθέτησαν τόσο το Γενικό Δικαστήριο όσο και το ΔΕΚ. Αυτή η σχετική προσέγγιση μπορεί να οδηγήσει σε μεγάλη νομική αβεβαιότητα, δεδομένου ότι η έννοια των προσωπικών δεδομένων δεν βασίζεται σε αντικειμενικές βάσεις αλλά, μάλλον, στην ικανότητα τρίτων να επαναπροσδιορίζουν δεδομένα. Αυτή η αξιολόγηση πρέπει να πραγματοποιείται κατά περίπτωση, γεγονός που μπορεί να οδηγήσει σε διαφορετικές λύσεις παρά τα παρόμοια γεγονότα.
συμπέρασμα
Μολονότι το ΔΕΚ φαίνεται να υιοθετεί μια πιο προστατευτική άποψη από αυτή του Γενικού Δικαστηρίου, δεν αποκλείει θεμελιωδώς τη σχετική προσέγγιση των δεδομένων προσωπικού χαρακτήρα, η οποία μπορεί να είναι προβληματική, ιδίως στην περίπτωση της διεθνούς διαβίβασης δεδομένων (βλ. Οι αρχές προστασίας δεδομένων δήλωσαν σχετικά με τη χρήση του Google Analytics πριν από την υιοθέτηση του DPF ) ή την επεξεργασία ευαίσθητων δεδομένων, όπως δεδομένα υγείας .
Αυτές οι περιπτώσεις αποτελούν μέρος μιας ευρύτερης συζήτησης σχετικά με την έκταση του ορισμού της έννοιας των δεδομένων προσωπικού χαρακτήρα. Η επικείμενη απόφαση του ΔΕΚ μετά την προσφυγή που κατέθεσε ο ΕΕΠΔ στην υπόθεση SRB κατά ΕΕΠΔ θα αποτελέσει αναμφίβολα ορόσημο για την καλύτερη κατανόηση του πεδίου εφαρμογής της νομοθεσίας περί προστασίας δεδομένων εντός της ΕΕ.