A személyes adat fogalmának értelmezését illetően hosszú ideje dúl éles vita arról, hogy az "azonosíthatóság" határainak meghúzásakor meddig lehet és kell elmenni. Ez pedig elvezet a személyes adat fogalmának relatív és abszolút értelmezését képviselő különböző megközelítésekhez (ehhez kapcsolódóan lásd ezt a korábbi bejegyzést).
A GDPR szerint, „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható
A fentiekkel kapcsolatban is érdekes az Európai Bíróság friss döntése (C‑319/22. sz. ügy), amely a jármű‑azonosító szám (VIN) személyes adat jellegének vizsgálatát is érintette.
A Bíróság az ítéletében az alábbiakat rögzíti:
48 E körülmények között a VIN az ugyanezen engedélyben említett természetes személynek az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett „személyes adatának” minősül, amennyiben az ahhoz hozzáférő természetes személy rendelkezik olyan módszerrel, amely lehetővé teszi számára, hogy ezen engedélyt a benne meghatározott jármű tulajdonosának, vagy az e járművet a tulajdonlástól különböző jogcímen használó személynek az azonosítására használja.
49 Amint azt a főtanácsnok az indítványának 34. és 41. pontjában megjegyezte, amennyiben a független gazdasági szereplők valószínűsíthetően rendelkeznek olyan módszerekkel, amelyek lehetővé teszik számukra, hogy valamely VIN‑t azonosított vagy azonosítható természetes személyhez társítsanak – aminek vizsgálata a kérdést előterjesztő bíróság feladata –, e VIN az általános adatvédelmi rendelet 4. cikkének 1. pontja értelmében vett személyes adatnak minősül számukra és közvetetten az azt rendelkezésre bocsátó gépjárműgyártók számára, annak ellenére is, hogy a VIN önmagában nem személyes adat, és különösen nem az, ha az a gépjármű, amelyre e VIN‑t kiadták, nem természetes személyé.
A döntés azért lehet érdekes a személyes adat fogalmának vizsgálata kapcsán, mert az adat személyes adat jellegének a meghatározásához az adatokhoz hozzáférő személyek rendelkezésére álló módszerek vizsgálatának fontosságát hangsúlyozza, amely teret engedhet a személyes adatok körének olyan szűkítő(bb) értelmezésének, amely alapján egy adat attól függően minősülhet személyes adatnak, hogy a hozzáférő személy képes lehet-e (rendelkezhet-e megfelelő módszerrel) az adat konkrét természetes személyhez kötésére.
Természetesen arra a kérdésre a Bíróság friss döntése alapján sincs egyértelmű válasz, hogy a figyelembe vehető módszerek körét vizsgálva, hol kell meghúzni a határt, azaz az "ésszerű felhasználhatóság" (vö. GDPR Preambulu (26) bekezdés és Breyer-ügy) alatt mit kell pontosan érteni.
A GDPR Prteambulum (26) szerint: "[...]Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. Annak meghatározásakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését. [....]"
A Breyer-ügyben (ami még a 95/46/EK irányelv alapján született, de a személyes adat definíciója a GDPR-ban nem változott az irányelvi meghatározáshoz képest) rögzítette a Bíróság, hogy
"42 Egyébiránt a 95/46 irányelv (26) preambulumbekezdése kimondja, hogy annak meghatározására, hogy egy személy azonosítható‑e, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az említett személy azonosítására.
43 Amennyiben e preambulumbekezdés minden olyan módszerre hivatkozik, amelyet az adatkezelő, vagy „más személy” valószínűleg felhasználna az említett személy azonosítására, annak szövege azt sugallja, hogy annak érdekében, hogy valamely adatot az említett irányelv 2. cikkének a) pontja szerinti „személyes adatnak” minősítsenek, nem követelmény, hogy az érintett személy azonosítását lehetővé tevő minden adat egy személy kezében legyen."
Érdekes lesz látni - a fellebbezés alatt álló T-557/20. sz. ügyre is figyelemmel -, hogy az azonosításhoz szükséges módszerek és adatok tekintetében az esetlegesen "más személy" birtokában lévő információkat milyen mértékig és módon kell figyelembe venni az azonosíthatóság kritériuma teljesülésének megállapításához. Lehet-e vajon érdemi elmozdulás, amely a szűkítőbb értelmezésnek adhat nagyobb teret a jelenleg uralkodó szélesebb értelmezéssel szemben?
