假名化資料的法律效力：歐盟法院對SRB與EDPS的爭議作出裁決

歐盟普通法院於2023 年 4 月 26 日對案件 T-557/20，歐盟單一問題銀行處理理事會（Single Resolution Board, SRB） v 歐洲資料保護委員會(European Data Protection Supervisor, EDPS）作出判決。 本案涉及西班牙Banco Popular Español S.A.（BPE）在2017年由SRB協助出售予Santander集團，並宣告BPE的所有股份和部分債務無效。根據歐盟規定，SRB必須由外部評估單位（本案為德勤公司）評估解決方案是否公平合理。為進行評估，SRB向德勤公司提供了BPE的部分股東和債權人的資料，包括姓名、地址、電話號碼、電子郵件地址、帳戶號碼、持有金額等，而這些資料經過假名化處理。

但，部份受影響的股東和債權人向EDPS投訴，認為SRB未能告知其個人資料遭揭露給德勤公司。而本次判決，法院認為，如果資料接收者沒有重新識別資料當事人的手段，則假名化資料不構成個人資料，因此SRB並未違反告知資料當事人的義務。

資料來源：SRB v EDPS