Az álnevesített adatokat megkapó szervezetek által végzett műveletek nem szükségszerűen tartoznak a GDPR hatálya alá. Hosszú ideig e mondat végén kérdőjel szerepelhetett csak, azonban az Európai Unió Bírósága 2025. szeptember 4-én meghozott ítéletében eloszlatta a bizonytalanságot, mert kimondta, hogy GDPR személyes adat fogalmát relatívan kell értelmezni, azaz az azzal rendelkező személy vagy szervezet szempontjából. Mostantól az európai IT és adatelemzési szektorokban tevékenykedő piaci szereplők helyzete könnyebb lesz annyiban, hogy álnevesített adatokon végzett műveletek esetében nem kell a jogértelmezési bizonytalanságból eredő kockázatok elemzésével foglalkozniuk. 

Mi történt?

Az Európai Unió Bírósága (EUB) 2025. szeptember 4-én meghozott ítéletében állást foglalt a GDPR szerinti személyes adat fogalom értelmezéséről. Az EUB az abszolút megközelítéssel szemben a relatív értelmezést erősítette meg. Ez azt jelenti, hogy mindig azon személy vagy szervezet szemszögéből kell megvizsgálni a természetes személyek azonosíthatóságának esélyét, aki vagy amely az információkkal rendelkezik. Ha az adott személy vagy szervezet nem rendelkezik olyan módszerekkel, amelyekről észszerűen feltételezhető, hogy alkalmas az azonosításra, akkor az adott személy által az adatokon végzett műveletekre nem vonatkoznak a GDPR előírásai. 

Mi ennek a gyakorlati jelentősége?  

A személyes adat koncepciójának abszolút megközelítése csak az adatot ismeri: ha egy információ vonatkozásban bármilyen távoli esélye van egy természetes személy azonosításának, akkor az az információ személyes adat. Ebből következően bárki, aki ehhez az információhoz hozzáfér, adatkezelést végez és vonatkozik rá a GDPR minden kötelezettsége. A relatív megközelítés szerint azonban az információkhoz hozzáférő személy vagy szervezet szempontjából kell megvizsgálni azt, hogy rendelkezik-e olyan észszerűen feltételezhető módszerekkel, amelyekkel azonosítani tud természetes személyeket. Ha nem, akkor az általa végzett műveletekre nem vonatkozik a GDPR. 

Az elsőre elméletinek tűnő dilemmának óriási gyakorlati jelentősége van, hiszen ha a GDPR alkalmazandó, akkor a műveleteket végző személynek vagy szervezetnek a GDPR összes előírásának eleget kell tennie, így különösen el kell döntenie, hogy adatkezelő vagy adatfeldolgozó vagy esetleg másokkal együtt közös adatkezelő, tájékoztatást kell nyújtania az érintett természetes személyeknek, meg kell határoznia, hogy milyen célokra, milyen jogalapon, mennyi ideig kezeli az adatokat, jogos érdek jogalap esetén érdekmérlegelési tesztet kell végeznie, adott esetben adatvédelmi hatásvizsgálatot kell végeznie, az adatok külföldre történő továbbítása esetén adattovábbítási hatásvizsgálatot kell készítenie, fel kell készülnie érintetti jogérvényesítést tartalmazó megkeresések teljesítésére, adatfeldolgozói szerződéseket kell kötnie, és bizonyos kritériumok teljesülése esetén adatvédelmi tisztviselőt kell kineveznie. 

A fenti kötelezettségeknek értelemszerűen eleget kell tennie egy adatkezelőnek, aki vagy amely azonosítani tudja a természetes személyeket, így különösen annak, aki vagy amely gyűjtötte a személyes adatokat az érintettektől. 2018 májusától, amikor a GDPR alkalmazandó lett (magyar terminológiával hatályba lépett), viszont bizonytalanság volt abban a kérdésben, hogy hol van az azonosíthatóság határa olyan esetekben, amikor a GDPR-ben található lehetőséggel élve az adatkezelő álnevesíti a személyes adatokat, és egy harmadik fél számára olyan adathalmazt ad át, amely nem tartalmazza azt a kulcsot, amelyekkel az információkat össze lehetne kapcsolni természetes személyekkel. 

Miért volt ez eddig kérdés? 

Azért volt eddig bizonytalanság, mert a GDPR szövegéből, sőt a GDPR előtti Adatvédelmi irányelvből, illetve az utóbbihoz alapján létrehozott ún 29. cikk szerinti Adatvédelmi Munkacsoport (WP29, felváltotta az Európai Adatvédelmi Testület, EDPB) 4/2007 számú véleményéből is kiolvasható volt a relatív megközelítés, mégis az adatvédelmi hatóságok többsége inkább az abszolút értelmezést preferálta, hiszen ez ad nagyobb biztonságot az érintettek számára. De nem csak az egyes tagállami felügyleti hatóságok (Magyarországon a NAIH), hanem maga az EUB is hozott olyan döntést (lásd például 2016. október 19‑i Breyer ítélet, C‑582/14), amelyből sokan az abszolút megközelítést olvasták ki.

Mi a mostani EUB ítélet lényege? 

A 2025. szeptember 4-én kelt ítélet lényege az alábbiakban foglalható össze:

• Az álnevesített adatok nem tekinthetők szükségképpen és minden személy számára személyes adatoknak, mivel az álnevesítés az ügy körülményeitől függően ténylegesen megakadályozhatja az adatkezelőtől eltérő személyeket az érintett azonosításában olyan módon, hogy annak következtében az számukra nem vagy többé nem azonosítható (ítélet 86. bekezdése).
• Az érintett azonosíthatóságának értékelése tekintetében releváns szemszög alapvetően minden egyes konkrét esetben az adatkezelés sajátos körülményeitől függ (ítélet 100. bekezdése).
• Az adatkezelőnek azonban tájékoztatnia kell az érintett természetes személyeket arról, hogy személyes adataik álnevesítésre kerülnek és az így előállt információk harmadik fél számára továbbításra kerülnek (ítélet 110-114. bekezdései). 

Mi lesz az ítélet hatása? 

A fentiek alapján hiba lenne végletes következtetéseket levonni az ítéletből. Az adatkezelők ezután sem kapnak szabad kezet arra, hogy az érintett tudta nélkül végezzenek adatkezelési műveleteket, pusztán arra alapozva, hogy az adatok álnevesítésre kerülnek. Az álnevesített adatokat megkapó személyek és szervezeteknek azonban jelentős könnyebbséget jelent az, hogy ezután nem kell erőforrásokat allokálniuk arra, hogy megfeleljenek a GDPR rendelkezéseinek olyan adatok vonatkozásban, amelyek esetében nincsenek észszerűen feltételezhető módszereik arra, hogy az érintetteket azonosítsák.

Összefoglalva az ítélet fontos mérföldkő, mert határt szab a „GDPR a mindenség joga” kifejezéssel jellemzett tendenciának, azaz annak, hogy a GDPR rendelkezései átveszik az irányítást olyan jogviszonyok felett is, ahol az adatvédelmi szempontok korábban járulékosak vagy éppen teljességgel irrelevánsak voltak. 

A döntést követően az adatvédelmet fokozó technológiák (Privacy Enhancement Techniques, PETs) jóval nagyobb teret fognak kapni, továbbá a mindennapi gyakorlat részévé válnak az olyan komplex jogi és technológia vizsgálatok, amelyek azt dokumentálják, hogy egy adott személy vagy szervezet észszerűen képes vagy éppen nem képes arra, hogy – adott esetben a rendelkezésére álló más adatokkal való összevetéshez hasonló módszerek révén – az álnevesített adatokat az érintettekhez kapcsolja, azaz e természetes személyeket azonosítsa.

További részletek

Az EU Európai Unió Bírósága (EUB) 2025. szeptember 4-én meghozott ítélete magyarul itt olvasható. 

2019-ben részletesen foglalkoztunk a személyes adat koncepciójának abszolút és a relatív megközelítésével egy magyar jogeset kapcsán. Ezt az írást, és az ezt követő szakmai eszmecserét itt lehet elolvasni. 

dr. Halász Bálint ügyvéd, partner
Siegler Bird & Bird Ügyvédi Iroda
balint.halasz@twobirds.com
+36 1 301 8900