WYROK SĄDU (ósma izba w składzie powiększonym)
z dnia 26 kwietnia 2023 r.(*)
Ochrona danych osobowych – Postępowanie w przedmiocie wypłaty rekompensat akcjonariuszom i wierzycielom w następstwie restrukturyzacji i uporządkowanej likwidacji instytucji bankowej – Decyzja EIOD stwierdzająca naruszenie przez SRB jej obowiązków związanych z przetwarzaniem danych osobowych – Artykuł 15 ust. 1 lit. d) rozporządzenia (UE) 2018/1725 – Pojęcie „danych osobowych” – Artykuł 3 pkt 1 rozporządzenia 2018/1725 – Prawo dostępu do akt
W sprawie T‑557/20
Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB), którą reprezentowały H. Ehlers, M. Fernandez Ruperez, A. Lapresta Bienz, w charakterze pełnomocniczek, które wspierali H.-G. Kamann, M. Braun, F. Louis i L. Hesse, avocats,
strona skarżąca,
przeciwko
Europejskiemu Inspektorowi Ochrony Danych (EIOD), którego reprezentowali P. Candellier, X. Lareo i T. Zerdick, w charakterze pełnomocników,
strona pozwana,
SĄD (ósma izba w składzie powiększonym),
w składzie: A. Kornezov, prezes, G. De Baere (sprawozdawca), D. Petrlík, K. Kecsmár i S. Kingston, sędziowie,
sekretarz: I. Kurme, administratorka,
uwzględniając pisemny etap postępowania,
po przeprowadzeniu rozprawy w dniu 1 grudnia 2022 r.,
wydaje następujący
Wyrok
1 W skardze wniesionej na podstawie art. 263 TFUE Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) domaga się, po pierwsze, stwierdzenia nieważności zmienionej decyzji Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 24 listopada 2020 r., wydanej w następstwie złożonego przez SRB wniosku o dokonanie przeglądu decyzji EIOD z dnia 24 czerwca 2020 r. w przedmiocie pięciu skarg złożonych przez kilku skarżących (sprawy 2019‑947, 2019‑998, 2019‑999, 2019‑1000 i 2019‑1122) (zwanej dalej „zmienioną decyzją”), a po drugie, stwierdzenia niezgodności z prawem decyzji EIOD z dnia 24 czerwca 2020 r. (zwanej dalej „pierwotną decyzją”).
Okoliczności powstania sporu
2 W dniu 7 czerwca 2017 r. podczas sesji wykonawczej SRB przyjęła decyzję SRB/EES/2017/08 w sprawie programu restrukturyzacji i uporządkowanej likwidacji w odniesieniu do Banco Popular Español, SA (zwanego dalej „programem restrukturyzacji i uporządkowanej likwidacji”) na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 806/2014 z dnia 15 lipca 2014 r. ustanawiającego jednolite zasady i jednolitą procedurę restrukturyzacji i uporządkowanej likwidacji instytucji kredytowych i niektórych firm inwestycyjnych w ramach jednolitego mechanizmu restrukturyzacji i uporządkowanej likwidacji oraz jednolitego funduszu restrukturyzacji i uporządkowanej likwidacji oraz zmieniającego rozporządzenie (UE) nr 1093/2010 (Dz.U. 2014, L 225, s. 1).
3 W tym samym dniu Komisja Europejska przyjęła decyzję (UE) 2017/1246 zatwierdzającą program restrukturyzacji i uporządkowanej likwidacji (Dz.U. 2017, L 178, s. 15).
4 W programie restrukturyzacji i uporządkowanej likwidacji SRB, uznając, że warunki przewidziane w art. 18 ust. 1 rozporządzenia nr 806/2014 zostały spełnione, postanowiła poddać Banco Popular Español (zwany dalej „Banco Popular”) procedurze restrukturyzacji i uporządkowanej likwidacji. SRB podjęła decyzję o umorzeniu i konwersji instrumentów kapitałowych Banco Popular na podstawie art. 21 rozporządzenia nr 806/2014 oraz o zastosowaniu instrumentu zbycia działalności na podstawie art. 24 rozporządzenia nr 806/2014 poprzez przeniesienie akcji na nabywcę.
5 W dniu 14 czerwca 2018 r. SRB, w następstwie restrukturyzacji i uporządkowanej likwidacji Banco Popular, otrzymała od Deloitte wycenę różnicy w traktowaniu, przewidzianą w art. 20 ust. 16–18 rozporządzenia nr 806/2014, przeprowadzoną w celu ustalenia, czy akcjonariusze i wierzyciele zostaliby lepiej potraktowani, gdyby Banco Popular został objęty standardowym postępowaniem upadłościowym (zwaną dalej „wyceną nr 3”).
6 W dniu 6 sierpnia 2018 r. SRB opublikowała na swojej stronie internetowej komunikat z dnia 2 sierpnia 2018 r. dotyczący wstępnej decyzji w sprawie konieczności przyznania rekompensaty akcjonariuszom i wierzycielom, w stosunku do których zastosowano działania w ramach restrukturyzacji i uporządkowanej likwidacji w odniesieniu do Banco Popular, i rozpoczęciu procedury w związku z prawem do bycia wysłuchanym (SRB/EES/2018/132) (zwanej dalej „decyzją wstępną”), a także jawną wersję wyceny nr 3. W dniu 7 sierpnia 2018 r. w Dzienniku Urzędowym Unii Europejskiej opublikowano ogłoszenie dotyczące komunikatu SRB (Dz.U. 2018, C 277 I, s. 1).
7 W decyzji wstępnej SRB wskazała, że aby umożliwić jej podjęcie ostatecznej decyzji w sprawie konieczności przyznania akcjonariuszom i wierzycielom, których dotyczy restrukturyzacja i uporządkowana likwidacja Banco Popular, rekompensaty na podstawie art. 76 ust. 1 lit. e) rozporządzenia nr 806/2014, wezwała ich do wyrażenia interesu w skorzystaniu z prawa do bycia wysłuchanym na podstawie art. 41 ust. 2 lit. a) Karty praw podstawowych Unii Europejskiej.
W przedmiocie procedury dotyczącej prawa do bycia wysłuchanym
8 W decyzji wstępnej SRB wskazała, że procedura dotycząca prawa do bycia wysłuchanym będzie przebiegać w dwóch fazach. W pierwszej fazie (zwanej dalej „fazą rejestracji”) zaangażowani akcjonariusze i wierzyciele zostali wezwani do wyrażenia interesu w skorzystaniu z prawa do bycia wysłuchanym za pomocą internetowego formularza rejestracyjnego do dnia 14 września 2018 r. Następnie SRB miała sprawdzić, czy każda ze stron, która wyraziła interes, rzeczywiście miała status zaangażowanego akcjonariusza lub wierzyciela. W drugiej fazie (zwanej dalej „fazą konsultacji”) zaangażowani akcjonariusze i wierzyciele, których status został sprawdzony przez SRB, mogli przedstawić swoje uwagi na temat decyzji wstępnej, do której załączono wycenę nr 3.
9 W fazie rejestracji zaangażowani akcjonariusze i wierzyciele zamierzający skorzystać z prawa do bycia wysłuchanym powinni byli przedstawić SRB dokumenty potwierdzające, że w dniu restrukturyzacji i uporządkowanej likwidacji posiadali jeden lub kilka instrumentów kapitałowych Banco Popular, które zostały umorzone lub poddane konwersji i zostały przeniesione na Banco Santander, SA w ramach restrukturyzacji i uporządkowanej likwidacji. Dokumenty, które należało przedłożyć, obejmowały dokument tożsamości i dowód własności jednego z tych instrumentów kapitałowych na dzień 6 czerwca 2017 r.
10 W dniu 6 sierpnia 2018 r., w momencie rozpoczęcia fazy rejestracji, SRB opublikowała również na stronie internetowej, na której należało dokonać rejestracji do udziału w procedurze dotyczącej prawa do bycia wysłuchanym, i na własnej stronie internetowej oświadczenie o ochronie prywatności dotyczące przetwarzania danych osobowych w ramach procedury dotyczącej prawa do bycia wysłuchanym (zwane dalej „oświadczeniem o ochronie prywatności”).
11 W dniu 16 października 2018 r. SRB ogłosiła na swojej stronie internetowej, że od dnia 6 listopada 2018 r. kwalifikujący się akcjonariusze i wierzyciele zostaną wezwani do przedstawienia pisemnych uwag na temat decyzji wstępnej przyjętej w fazie konsultacji.
12 W dniu 6 listopada 2018 r. za pośrednictwem poczty elektronicznej SRB przesłała kwalifikującym się akcjonariuszom i wierzycielom spersonalizowany link umożliwiający im dostęp do formularza (zwanego dalej „formularzem”). Formularz zawierał siedem pytań, z ograniczonym miejscem na odpowiedz, umożliwiających akcjonariuszom i zainteresowanym wierzycielom przedstawienie przed dniem 26 listopada 2018 r. uwag na temat wstępnej decyzji oraz jawnej wersji wyceny nr 3.
13 SRB przeanalizowała odpowiednie uwagi zaangażowanych akcjonariuszy i wierzycieli dotyczące decyzji wstępnej. Zwróciła się ona do Deloitte jako do niezależnego rzeczoznawcy o ocenę odpowiednich uwag do wyceny nr 3, przedstawienie jej dokumentu zawierającego ocenę oraz zbadanie, czy wycena nr 3 pozostaje ważna w świetle tych uwag.
W przedmiocie przetwarzania danych zgromadzonych przez SRB w ramach procedury dotyczącej prawa do bycia wysłuchanym
14 Dane zebrane w fazie rejestracji, a mianowicie dowody tożsamości uczestników i dowody własności umorzonych instrumentów kapitałowych Banco Popular, konwersji i przekazania były dostępne ograniczonej liczbie pracowników SRB odpowiedzialnych za przetwarzanie tych danych w celu ustalenia, czy uczestnicy kwalifikowali się do udziału w procedurze.
15 Dane te nie były widoczne dla pracowników SRB odpowiedzialnych za przetwarzanie uwag otrzymanych w fazie konsultacji, w takcie której otrzymali oni jedynie uwagi możliwe do zidentyfikowania za pomocą kodu alfanumerycznego przypisanego do każdej uwagi przedłożonej za pośrednictwem formularza. Kod alfanumeryczny składał się z uniwersalnego identyfikatora o 33 cyfrach, losowo wygenerowanego w momencie otrzymania odpowiedzi na formularz.
16 Na pierwszym etapie SRB przeprowadziła automatyczne filtrowanie 23 822 komentarzy, z których każdy zawierał niepowtarzalny kod alfanumeryczny, przedłożonych przez 2855 uczestników procedury. Dwa algorytmy pozwoliły zidentyfikować 20 101 komentarzy jako identyczne. Komentarz zgłoszony w pierwszej kolejności był uznawany za komentarz oryginalny, który był następnie badany w fazie analizy, a identyczne komentarze otrzymane później zostały zidentyfikowane jako duplikaty.
17 Na drugim etapie, w fazie analizy, SRB przeanalizowała komentarze w celu zapewnienia spójności w toku oceny ich trafności oraz ich kategoryzacji lub grupowania w określone zbiory tematyczne. SRB zidentyfikowała zatem komentarze podobne, lecz nie identyczne, które opierały się na tych samych źródłach dostępnych w Internecie.
18 Pracownicy SRB odpowiedzialni za analizę komentarzy nie mieli dostępu ani do danych zgromadzonych w fazie rejestracji, w ten sposób, że komentarze te były odłączone od informacji osobowych dotyczących osób, które je przedłożyły, ani do klucza danych lub informacji umożliwiających odnalezienie tożsamości uczestnika za pomocą niepowtarzalnego kodu alfanumerycznego przypisanego do każdej uwagi.
19 W tej fazie analizy SRB porównała wszystkie przedłożone komentarze i sklasyfikowała je w zależności od pytania formularza, na które odpowiadały. Komentarze zostały następnie ocenione pod kątem ich znaczenia i podzielone z jednej strony na te, które były objęte zakresem stosowania procedury dotyczącej prawa do bycia wysłuchanym, ponieważ mogły mieć wpływ na decyzję wstępną lub wycenę nr 3, a z drugiej strony te, które nie były nią objęte, ponieważ dotyczyły innych aspektów restrukturyzacji i uporządkowanej likwidacji Banco Popular.
20 Komentarz objęty zakresem stosowania procedury był następnie przypisywany do jednego z 15 tematów wcześniej określonych przez SRB. W zależności od tematu, do którego się odnosiły, komentarze były dzielone na te, które miały zostać przeanalizowane przez SRB, ponieważ dotyczyły decyzji wstępnej, oraz te, które miały być zbadane przez Deloitte, ponieważ dotyczyły wyceny nr 3. Wśród komentarzy, które należało zbadać, SRB nie dokonała rozróżnienia pomiędzy komentarzami, które zostały złożone tylko raz, a tymi, które się powtarzały.
21 Po zakończeniu fazy analizy SRB zidentyfikowała 3730 komentarzy sklasyfikowanych w zależności od ich znaczenia i tematu.
22 Na trzecim etapie, w fazie badania, SRB rozpatrzyła komentarze dotyczące decyzji wstępnej, a komentarze dotyczące wyceny nr 3 – mianowicie 1104 komentarzy – zostały w dniu 17 czerwca 2019 r. przekazane Deloitte za pośrednictwem zabezpieczonego wirtualnego serwera danych dedykowany SRB. SRB zamieściła pliki, które miały być przekazane Deloitte, na wirtualnym serwerze i udzieliła dostępu do tych plików ograniczonej i kontrolowanej liczbie pracowników Deloitte bezpośrednio zaangażowanych w ten projekt.
23 Komentarze przekazane Deloitte były przefiltrowane, skategoryzowane i zsumowane. W sytuacji gdy stanowiły one kopie wcześniejszych komentarzy, tylko jedna wersja została przekazana Deloitte, tak że indywidualnych komentarzy, które zostały powtórzone, nie można było wyróżnić w ramach tego samego tematu, a Deloitte nie miał możliwości ustalenia, czy komentarz został sformułowany przez jednego czy kilku uczestników postępowania.
24 Komentarze przekazane Deloitte dotyczyły wyłącznie komentarzy otrzymanych w fazie konsultacji i były opatrzone kodem alfanumerycznym. Za pomocą tego kodu SRB jako jedyna mogła powiązać komentarze z danymi otrzymanymi w fazie rejestracji. Kod alfanumeryczny opracowano do celów audytu, aby umożliwić weryfikację i ewentualne wykazanie a posteriori, że każdy komentarz został przeanalizowany i należycie uwzględniony. Deloitte nie miał i nadal nie ma dostępu do bazy danych zgromadzonych w fazie rejestracji.
W przedmiocie postępowania przed EIOD
25 W dniach 19, 26 i 28 października oraz 5 grudnia 2019 r. zaangażowani akcjonariusze i wierzyciele, którzy odpowiedzieli na formularz, złożyli do EIOD pięć skarg (sprawy 2019‑947, 2019‑998, 2019‑999, 2019‑1000 i 2019‑1122) (zwanych dalej „pięcioma skargami”) na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. 2018, L 295, s. 39).
26 Autorzy pięciu skarg (zwani dalej „skarżącymi”) powołali się na fakt, że SRB nie poinformowała ich o tym, że dane zebrane w wyniku odpowiedzi na formularz zostaną przekazane osobom trzecim, a mianowicie Deloitte i Banco Santander, co stanowiło naruszenie warunków oświadczenia o ochronie prywatności. Twierdzili oni, że w związku z tym SRB naruszyła art. 15 ust. 1 lit. d) rozporządzenia 2018/1725, zgodnie z którym „[j]eżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, podczas pozyskiwania danych osobowych administrator podaje jej wszystkie […] informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją”.
27 W dniu 12 grudnia 2019 r. EIOD poinformował SRB o otrzymaniu pięciu skarg i zwrócił się do niej o przedstawienie uwag.
28 W dniu 24 czerwca 2020 r., po przeprowadzeniu postępowania, w trakcie którego SRB przedstawiła różne wyjaśnienia na wniosek EIOD, a skarżący przedstawili uwagi, EIOD przyjął pierwotną decyzję. EIOD uznał, że SRB naruszyła art. 15 rozporządzenia 2018/1725, ponieważ nie poinformowała skarżących w oświadczeniu o ochronie prywatności o możliwości przekazania Deloitte ich danych osobowych. W związku z tym wezwał on SRB do usunięcia tego naruszenia na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2018/1725.
29 W dniu 22 lipca 2020 r. SRB zwróciła się do EIOD o ponowne rozpatrzenie pierwotnej decyzji, zgodnie z art. 18 ust. 1 decyzji EIOD z dnia 15 maja 2020 r. w sprawie przyjęcia regulaminu wewnętrznego EIOD (Dz.U. 2020, L 204, s. 49). SRB dostarczyła między innymi szczegółowy opis procedury dotyczącej prawa do bycia wysłuchanym i analizy uwag przedstawionych w fazie konsultacji przez czterech wskazanych skarżących. Podniosła ona, że informacje przekazane Deloitte nie stanowiły danych osobowych w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725.
30 W dniu 5 sierpnia 2020 r. EIOD poinformował SRB, że w świetle przedstawionych nowych informacji postanowił dokonać przeglądu pierwotnej decyzji i przyjmie decyzję ją zastępującą.
31 W dniu 24 listopada 2020 r., po zakończeniu przeglądu, w trakcie którego skarżący przedstawili uwagi, a SRB przekazała dodatkowe informacje na wniosek EIOD, EIOD przyjął zmienioną decyzję.
32 EIOD postanowił zmienić pierwotną decyzję w następujący sposób:
„1. EIOD ocenia, że dane, które SRB udostępniała Deloitte, były danymi spseudonimizowanymi zarówno ze względu na to, że komentarze w fazie [konsultacji] były danymi osobowymi, jak i dlatego, że SRB dzieliła się kodem alfanumerycznym umożliwiającym powiązanie odpowiedzi otrzymanych w fazie [rejestracji] z odpowiedziami w fazie [konsultacji], mimo że dane dostarczone przez uczestników w celu zidentyfikowania w fazie [rejestracji] nie zostały przekazane Deloitte.
2. EIOD ocenia, że Deloitte był odbiorcą danych osobowych skarżących w rozumieniu art. 3 pkt 13 rozporządzenia 2018/1725. Okoliczność, że Deloitte nie został wskazany w oświadczeniu o ochronie prywatności SRB jako potencjalny odbiorca danych osobowych gromadzonych i przetwarzanych przez SRB jako administratora danych w ramach procedury dotyczącej prawa do bycia wysłuchanym, stanowi naruszenie obowiązku informacyjnego przewidzianego w art. 15 ust. 1 lit. d) [rozporządzenia 2018/1725].
3. W świetle środków technicznych i organizacyjnych wprowadzonych przez SRB w celu ograniczenia ryzyka naruszenia prawa osób fizycznych do ochrony danych w ramach procedury dotyczącej prawa do bycia wysłuchanym EIOD podejmuje decyzję o niewykonywaniu swoich uprawnień naprawczych przewidzianych w art. 58 ust. 2 [rozporządzenia 2018/1725].
4. EIOD zaleca jednak, aby SRB upewniła się, że jej oświadczenia o ochronie prywatności w przyszłych procedurach dotyczących prawa do bycia wysłuchanym będą obejmowały przetwarzanie danych osobowych zarówno w fazie rejestracji, jak i na etapie konsultacji, oraz że obejmą one wszystkich potencjalnych odbiorców gromadzonych informacji, tak aby w pełni wywiązać się z obowiązku informowania osób, których dane dotyczą, zgodnie z art. 15 [rozporządzenia 2018/1725]”.
Żądania stron
33 Po dostosowaniu swoich żądań SRB wnosi do Sądu o:
– stwierdzenie nieważności zmienionej decyzji;
– stwierdzenie niezgodności decyzji pierwotnej z prawem;
– obciążenie EIOD kosztami postępowania.
34 EIOD wnosi do Sądu o:
– oddalenie skargi;
– obciążenie SRB kosztami postępowania.
Co do prawa
W przedmiocie żądania drugiego, dotyczącego „stwierdzenia niezgodności pierwotnej decyzji z prawem”
35 W niniejszej sprawie strony są zgodne co do tego, że zmieniona decyzja uchyliła i zastąpiła decyzję pierwotną.
36 EIOD podnosi, że w związku z tym żądanie dotyczące decyzji pierwotnej jest niedopuszczalne.
37 SRB utrzymuje, że zachowuje interes w stwierdzeniu nieprawidłowości proceduralnych, które doprowadziły do wydania decyzji pierwotnej, a mianowicie naruszeń jej prawa do obrony i prawa dostępu do akt sprawy, tak aby nie powtarzały się one w przyszłych postępowaniach. W odpowiedzi na środek organizacji postępowania uściśliła ona, że w drugim żądaniu nie wnosi o stwierdzenie nieważności decyzji pierwotnej, ponieważ została ona już uchylona i zastąpiona zmienioną decyzją ze skutkiem ex tunc, lecz o uznanie jej za niezgodną z prawem.
38 Należy zatem uznać, że poprzez żądanie drugie SRB zmierza do uzyskania wyroku deklaratoryjnego, a nie do stwierdzenia nieważności aktu.
39 Tymczasem należy przypomnieć, że z utrwalonego orzecznictwa wynika, iż Sąd nie jest właściwy w ramach kontroli zgodności z prawem opartej na art. 263 TFUE do wydawania wyroków deklaratoryjnych (zob. wyroki: z dnia 4 lutego 2009 r., Omya/Komisja, T‑145/06, EU:T:2009:27, pkt 23 i przytoczone tam orzecznictwo; z dnia 13 września 2018 r., DenizBank/Rada, T‑798/14, EU:T:2018:546, pkt 135 i przytoczone tam orzecznictwo).
40 Wynika stąd, że drugie żądanie SRB, zmierzające do „stwierdzenia niezgodności decyzji pierwotnej z prawem”, należy oddalić ze względu na brak właściwości Sądu do jego rozpoznania.
W przedmiocie dopuszczalności żądania pierwszego, dotyczącego stwierdzenia nieważności zmienionej decyzji
41 Przesłanki dopuszczalności skargi należą do bezwzględnych przeszkód procesowych, a zatem do sądu Unii należy zbadanie ich z urzędu (zob. wyrok z dnia 16 marca 2022 r., MEKH i FGSZ/ACER, T‑684/19 i T‑704/19, EU:T:2022:138, pkt 29 i przytoczone tam orzecznictwo; zob. także podobnie wyrok z dnia 24 marca 1993 r., CIRFS i in./Komisja, C‑313/90, EU:C:1993:111, pkt 23). W ramach środka organizacji postępowania Sąd zwrócił się do stron z pytaniami w celu ustalenia, czy zmieniona decyzja stanowi akt zaskarżalny na podstawie art. 263 TFUE.
42 W odpowiedzi na to pytanie EIOD wskazuje, że fakt, iż zmieniona decyzja zawiera ostateczne stanowisko i stwierdzenie naruszenia, nie jest wystarczający, aby stanowiła ona akt zaskarżalny. Konieczne jest, aby stanowisko to pociągało za sobą zmianę sytuacji prawnej SRB. Ponieważ EIOD nie skorzystał w zmienionej decyzji ze swoich uprawnień naprawczych przewidzianych w art. 58 rozporządzenia 2018/1725, można uznać, że decyzja ta nie wywołuje skutków prawnych do celów kontroli sądowej na podstawie art. 263 TFUE.
43 W odpowiedzi na to samo pytanie SRB podnosi, że zmieniona decyzja wywołuje skutki prawne mogące wpływać na jej interesy.
44 Z orzecznictwa wynika, że zgodnie z art. 263 akapit czwarty TFUE osoba fizyczna lub prawna może zaskarżyć jedynie te akty, które wywołują wiążące skutki prawne mogące wpłynąć na jej interes poprzez istotną zmianę jej sytuacji prawnej. Tym samym aktami zaskarżalnymi są co do zasady akty, które określają w sposób definitywny stanowisko instytucji, organu lub jednostki organizacyjnej Unii po zakończeniu postępowania administracyjnego i które zmierzają do wywołania wiążących skutków prawnych mogących naruszać interesy skarżącego, z wyłączeniem zwłaszcza aktów tymczasowych służących przygotowaniu wydania ostatecznej decyzji, które nie wywołują takich skutków (zob. wyroki: z dnia 25 czerwca 2020 r., Satcen/KF, C‑14/19 P, EU:C:2020:492, pkt 69, 70 i przytoczone tam orzecznictwo; z dnia 6 maja 2021 r., ABLV Bank i in./EBC, C‑551/19 P i C‑552/19 P, EU:C:2021:369, pkt 39 i przytoczone tam orzecznictwo).
45 W celu ustalenia, czy akt wywołuje takie skutki, należy brać pod uwagę jego istotę, przy czym wiążące skutki prawne aktu należy oceniać na podstawie obiektywnych kryteriów, takich jak jego treść, z uwzględnieniem, w razie potrzeby, kontekstu jego wydania oraz uprawnień instytucji, organu lub jednostki organizacyjnej Unii, które go wydały (zob. wyroki: z dnia 22 kwietnia 2021 r., thyssenkrupp Electrical Steel i thyssenkrupp Electrical Steel Ugo/Komisja, C‑572/18 P, EU:C:2021:317, pkt 48 i przytoczone tam orzecznictwo; z dnia 6 maja 2021 r., ABLV Bank i in./EBC, C‑551/19 P i C‑552/19 P, EU:C:2021:369, pkt 41 i przytoczone tam orzecznictwo; z dnia 6 października 2021 r., Tognoli i in./Parlament, C‑431/20 P, EU:C:2021:807, pkt 34 i przytoczone tam orzecznictwo).
46 W pierwszej kolejności należy przypomnieć, że zmieniona decyzja została przyjęta przez EIOD w następstwie wniosku SRB o zmianę decyzji pierwotnej. Zmieniona decyzja, przyjęta w wyniku kontradyktoryjnego postępowania administracyjnego, uchyla i zastępuje pierwotną decyzję oraz stanowi decyzję określającą ostateczne stanowisko EIOD w sprawie pięciu skarg.
47 Tymczasem art. 64 ust. 2 rozporządzenia 2018/1725, dotyczący prawa do skutecznego środka prawnego przed sądem, przewiduje, że decyzje EIOD mogą być przedmiotem skargi do Trybunału Sprawiedliwości Unii Europejskiej.
48 W szczególności art. 18 regulaminu wewnętrznego EIOD, na podstawie którego przyjęto zmienioną decyzję, stanowi między innymi w ust. 3:
„Jeżeli w następstwie wniosku o dokonanie przeglądu decyzji w przedmiocie skargi, EIOD wydaje nową zmienioną decyzję, informuje skarżącego i zainteresowaną instytucję, że mogą zaskarżyć tę nową decyzję do Trybunału Sprawiedliwości Unii Europejskiej zgodnie z art. 263 [TFUE]”.
49 W tym względzie w piśmie przewodnim do zmienionej decyzji wysłanym do SRB wskazano, co następuje:
„Należy zauważyć, że decyzja ta uchyla i zastępuje decyzję przyjętą w dniu 24 czerwca 2020 r. W terminie dwóch miesięcy od przyjęcia niniejszej decyzji i zgodnie z warunkami określonymi w art. 263 [TFUE] mogą Państwo wnieść skargę o stwierdzenie nieważności tej decyzji do Trybunału Sprawiedliwości Unii Europejskiej”.
50 W drugiej kolejności, co się tyczy istoty zmienionej decyzji, należy przypomnieć, po pierwsze, że EIOD stwierdził, iż SRB naruszyła obowiązek informowania przewidziany w art. 15 ust. 1 lit. d) rozporządzenia 2018/1725, a po drugie, że zalecił on jej w istocie zapewnienie, aby w przyszłych oświadczeniach o poufności nie powtarzać takiego naruszenia.
51 Po pierwsze, należy zauważyć, że zgodnie z art. 65 rozporządzenia 2018/1725 takie naruszenie może prowadzić do powstania odpowiedzialności SRB jako administratora danych, pod warunkiem że spełnione zostaną pozostałe warunki przewidziane w traktatach.
52 Po drugie, na podstawie art. 66 ust. 1 rozporządzenia 2018/1725 EIOD, podejmując decyzję o nałożeniu grzywny administracyjnej na instytucję lub organ Unii oraz podejmując decyzję o wysokości tej grzywny, bierze pod uwagę w szczególności wszelkie podobne naruszenia popełnione wcześniej przez tę instytucję lub ten organ. W związku z tym gdyby SRB nie zastosowała się do zalecenia EIOD dotyczącego zmiany w przyszłości jego oświadczeń o ochronie prywatności w postępowaniach dotyczących prawa do bycia wysłuchanym, można by stwierdzić podobne naruszenie art. 15 ust. 1 lit. d) rozporządzenia 2018/1725 przez SRB i doprowadzić do nałożenia grzywny.
53 Wynika z tego, że stwierdzenie w zmienionej decyzji naruszenia przez SRB art. 15 ust. 1 lit. d) rozporządzenia 2018/1725 wywołuje wiążące skutki prawne, nawet jeśli EIOD wskazał, że rezygnuje z wykonywania uprawnienia do przyjęcia środków naprawczych przewidzianego w art. 58 ust. 2 rozporządzenia 2018/1725.
54 W świetle powyższego zmieniona decyzja jest aktem Unii mogącym wpłynąć na interesy jej adresata, zmieniając w istotny sposób jego sytuację prawną. Stanowi ona zatem akt zaskarżalny w rozumieniu art. 263 TFUE.
55 W związku z tym należy uznać, że żądanie pierwsze, zmierzające do stwierdzenia nieważności zmienionej decyzji, jest dopuszczalne.
Co do istoty
56 Na poparcie skargi SRB podnosi dwa zarzuty. Zarzut pierwszy dotyczy naruszenia art. 3 pkt 1 rozporządzenia 2018/1725 ze względu na to, że informacje przekazane Deloitte nie stanowiły danych osobowych. Zarzut drugi dotyczy naruszenia prawa do dobrej administracji ustanowionego w art. 41 Karty praw podstawowych.
57 W zarzucie pierwszym SRB podnosi, że EIOD naruszył art. 3 pkt 1 rozporządzenia 2018/1725, uznając w zmienionej decyzji, że informacje przekazane Deloitte stanowią dane osobowe skarżących.
58 Artykuł 3 pkt 1 rozporządzenia 2018/1725 definiuje dane osobowe jako „[…] informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
59 Z definicji tej wynika, że informacja stanowi dane osobowe, w szczególności jeżeli spełnione są dwie kumulatywne przesłanki, a mianowicie, po pierwsze, informacja jest „o” osobie fizycznej, a po drugie, osoba ta jest „zidentyfikowana lub możliwa do zidentyfikowania”.
W przedmiocie przesłanki przewidzianej w art. 3 pkt 1 rozporządzenia 2018/1725, zgodnie z którą informacja jest „o” osobie fizycznej
60 SRB podnosi, że uwagi otrzymane w fazie konsultacji i przekazane Deloitte nie odnosiły się do konkretnych osób w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725. Uważa ona, że rozumowanie przyjęte w wyroku z dnia 20 grudnia 2017 r., Nowak (C‑434/16, EU:C:2017:994) nie ma zastosowania do komentarzy skarżących. Twierdzi ona, że informacje zawarte w komentarzach skarżących były informacjami faktycznymi i prawnymi niezależnymi od osób lub cech osobistych stron składających zażalenie i niemającymi związku z ich życiem prywatnym. Uważa on, że celem postępowania w sprawie prawa do bycia wysłuchanym była ocena argumentów faktycznych i prawnych dotyczących decyzji wstępnej i wyceny nr 3 pochodzących od dużej liczby zainteresowanych stron, których osobowość i tożsamość nie były istotne dla oceny ich uwag.
61 EIOD twierdzi, że treść uwag zaangażowanych akcjonariuszy i wierzycieli jest informacją „o” nich, ponieważ ich odpowiedzi zawierały i odzwierciedlały ich osobisty punkt widzenia, nawet jeśli opierały się na publicznie dostępnych informacjach. Odpowiedzi zamieszczone w formularzu skarżących i innych uczestników stanowią dane osobowe, niezależnie od tego, czy chodzi o wyrażenie poglądu oryginalnego, czy też wspólnego z innymi, i niezależnie od tego, czy SRB uznaje je za informacje niezależne od szczególnych praw akcjonariuszy i wierzycieli w zakresie poszanowania życia prywatnego.
62 EIOD uważa również, że uwagi stanowią dane osobowe ze względu na ich skutki. Ocena tych komentarzy, mająca na celu sprawdzenie ważności wyceny nr 3 i zgodności z prawem decyzji wstępnej, mogła wpływać na interesy i prawa uczestników w odniesieniu do rekompensaty finansowej. Wreszcie podnosi on, że celem gromadzenia komentarzy było przyznanie uprawnień procesowych każdej ze stron w celu zebrania indywidualnych stanowisk.
63 W zmienionej decyzji EIOD wskazał, że odpowiedzi otrzymane na etapie konsultacji stanowią dane osobowe skarżących, ponieważ zawierają ich osobiste punkty widzenia, a zatem stanowią informacje o nich, nawet jeśli opierają się na publicznie dostępnych informacjach w celu wyrażenia stanowiska. Uznał on, że fakt, iż skarżący przedstawili poglądy podobne – ale nie identyczne z nimi – do opinii innych uczestników, nie oznaczał, że ich odpowiedzi nie odzwierciedlały ich własnej opinii. W związku z tym EIOD uznał, że odpowiedzi udzielone w polach wypełnionych przez skarżących i innych uczestników ich własną treścią należy uznać za dane osobowe, niezależnie od tego, czy chodzi o wyrażenie z oryginalnego i niepowtarzalnego punktu widzenia, czy z punktu widzenia wspólnego z innymi lub zainspirowanego publicznie lub opartego na publicznie dostępnych informacjach. Sąd dodał, że wniosku tego nie podważa wyrok z dnia 20 grudnia 2017 r., Nowak (C‑434/16, EU:C:2017:994), w którym Trybunał nie dokonał rozróżnienia między odpowiedziami w całości udzielonymi przez respondentów a odpowiedziami pochodzącymi z innych źródeł.
64 Należy zbadać, czy EIOD mógł słusznie uznać, że informacje przekazane Deloitte są informacjami „o” osobie fizycznej w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725.
65 Na wstępie należy stwierdzić, że w zmienionej decyzji EIOD zakwalifikował jako dane osobowe wszystkie uwagi przedstawione przez zaangażowanych akcjonariuszy i wierzycieli w fazie konsultacji i nie ograniczył swojej oceny wyłącznie do informacji przekazanych Deloitte.
66 Tymczasem w zakresie, w jakim naruszenie art. 15 ust. 1 lit. d) rozporządzenia 2018/1725 stwierdzone w zmienionej decyzji dotyczyło wyłącznie braku w oświadczeniu o ochronie prywatności wzmianki, że Deloitte będzie potencjalnym odbiorcą niektórych danych, należy ograniczyć się do zbadania, czy informacje przekazane Deloitte były danymi osobowymi w rozumieniu art. 3 ust. 1 rozporządzenia 2018/1725.
67 W tym względzie art. 3 pkt 13 rozporządzenia 2018/1725 definiuje „odbiorcę” jako „osobę fizyczną lub prawną, organ publiczny, jednostkę organizacyjną lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią”.
68 Zgodnie z orzecznictwem użycie w zawartej w art. 3 pkt 1 rozporządzenia 2018/1725 definicji „danych osobowych” wyrażenia „informacje” odzwierciedla bowiem przyświecający unijnemu prawodawcy zamiar przypisania temu pojęciu szerokiego zakresu, bez ograniczania go do informacji szczególnie chronionych czy też prywatnych, lecz przy rozszerzeniu go potencjalnie o każdy rodzaj informacji, zarówno obiektywne, jak i subiektywne, w postaci opinii czy oceny, a jedynym warunkiem, jaki muszą one spełniać, jest to, aby były „o” danej osobie (zob. analogicznie wyrok z dnia 20 grudnia 2017 r., Nowak, C‑434/16, EU:C:2017:994, pkt 34).
69 W odniesieniu do tego ostatniego warunku Trybunał orzekł, że jest on spełniony, gdy ze względu na swą treść, cel czy skutek dana informacja jest powiązana z daną osobą (wyrok z dnia 20 grudnia 2017 r., Nowak, C‑434/16, EU:C:2017:994, pkt 35).
70 W zmienionej decyzji EIOD nie zbadał jednak ani treści, ani celu, ani skutków informacji przekazanych Deloitte.
71 Ograniczył się on bowiem do wskazania, że uwagi przedstawione przez skarżących w fazie konsultacji odzwierciedlały ich opinie lub stanowiska i stwierdził na tej tylko podstawie, że stanowią one dotyczące ich informacje, co wystarcza do uznania ich za dane osobowe.
72 Na rozprawie EIOD potwierdził, że jego zdaniem każda opinia osobista stanowi dane osobowe. Przyznał on również, że nie zbadał treści uwag przedstawionych przez skarżących w fazie konsultacji.
73 Oczywiście nie można wykluczyć, że osobiste punkty widzenia lub opinie stanowią dane osobowe. Jednakże z pkt 34 i 35 wyroku z dnia 20 grudnia 2017 r., Nowak (C‑434/16, EU:C:2017:994) przywołanych w pkt 68 i 69 powyżej wynika, że taki wniosek nie może opierać się na domniemaniu takim jak opisane w pkt 71 i 72 powyżej, lecz musi opierać się na badaniu mającym na celu ustalenie, czy ze względu na swoją treść, cel lub skutek punkt widzenia jest związany z określoną osobą.
74 Wynika z tego, że w przypadku braku przeprowadzenia takiego badania EIOD nie mógł stwierdzić, że informacje przekazane Deloitte stanowią informacje „o” osobie fizycznej w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725.
75 Sąd zbada następnie ocenę EIOD dotyczącą tego, czy informacje przekazane Deloitte odnosiły się do „zidentyfikowanej lub możliwej do zidentyfikowania” osoby fizycznej.
W przedmiocie warunku przewidzianego w art. 3 pkt 1 rozporządzenia 2018/1725, zgodnie z którym informacja jest o osobie fizycznej „zidentyfikowanej lub możliwej do zidentyfikowania”
76 SRB podnosi, że wbrew temu, co uznał EIOD, przekazanie Deloitte kodu alfanumerycznego nie doprowadziło do „pseudonimizacji” danych. Pozostały one anonimowe, ponieważ SRB nie udostępniła Deloitte informacji pozwalających na ponowną identyfikację autorów komentarzy.
77 SRB twierdzi, że dane stają się anonimowe dla osoby trzeciej, nawet jeśli informacje pozwalające na ponowną identyfikację nie zostały nieodwołalnie usunięte i są zachowane przez pierwotny podmiot przetwarzający, jeśli format, w jakim dane są przekazywane tej osobie trzeciej, nie pozwala już na identyfikację autora uwag lub nie czyni tego wystarczająco prawdopodobnym. SRB podnosi, że wbrew temu, co uznał EIOD w zmienionej decyzji, rozporządzenie 2018/1725 i orzecznictwo Trybunału wymagają oceny ryzyka ponownej identyfikacji.
78 W szczególności SRB twierdzi, że warunki ustanowione w orzecznictwie Trybunału dotyczące istnienia ryzyka ponownej identyfikacji, w sytuacji gdy całość informacji mogących umożliwić identyfikację jest w posiadaniu nie jednej osoby, lecz wielu stron, nie są w niniejszej sprawie spełnione. Po pierwsze, kod alfanumeryczny przypisany indywidualnym komentarzom nie pozwala Deloitte na ponowną identyfikację osób, które przedłożyły komentarze. Dodatkowe informacje, o których mowa w art. 3 ust. 6 rozporządzenia 2018/1725, stanowi baza danych umożliwiająca dekodowanie, do której ma dostęp jedynie SRB. Po drugie, jeśli chodzi o kryterium uzasadnionego prawdopodobieństwa połączenia informacji, Deloitte nie dysponował i nadal nie dysponuje środkami prawnymi umożliwiającymi dostęp do dodatkowych informacji i koniecznych do identyfikacji.
79 EIOD utrzymuje, że okoliczność, iż Deloitte nie miał dostępu do informacji, które posiadała SRB, pozwalających na ponowną identyfikację, nie skutkuje tym, że „spseudonimizowane” dane przekazane Deloitte stały się danymi anonimowymi. Nie jest konieczne ustalenie, czy autorzy informacji przekazanych Deloitte mogli zostać ponownie zidentyfikowani przez Deloitte lub czy ponowna identyfikacja była w uzasadniony sposób prawdopodobna. Dane pozostają w dalszym ciągu spseudonimizowane nawet wtedy, gdy zostają przekazane osobie trzeciej, która nie dysponuje dodatkowymi informacjami.
80 EIOD podnosi, że użycie terminu „pośrednio” w art. 3 pkt 1 rozporządzenia 2018/1725 oznacza, że dla uznania danej informacji za dane osobowe nie jest konieczne, aby informacja ta sama w sobie umożliwiała zidentyfikowanie osoby, której dane dotyczą. Ponadto w odniesieniu do sposobów, jakimi może u uzasadniony sposób prawdopodobnie posłużyć się zarówno administrator danych, jak i jakakolwiek inna osoba, nie jest wymagane, aby wszystkie informacje umożliwiające identyfikację osoby, której dane dotyczą, musiały znajdować się w rękach tylko jednej osoby.
81 W zmienionej decyzji EIOD uznał, że informacje przekazane Deloitte były danymi spseudonimizowanymi. W tym względzie wskazał on, że różnica między danymi spseudonimizowanymi a danymi anonimowymi polegała na tym, że w przypadku danych anonimowych nie ma „dodatkowych informacji”, które mogłyby zostać wykorzystane do przypisania danych konkretnej osobie, której dane dotyczą, podczas gdy w przypadku danych „spseudonimizowanych” takie dodatkowe informacje istniały. W związku z tym aby ocenić, czy dane były anonimowe czy spseudonimizowane, należało zbadać, czy istniały „dodatkowe informacje”, które można było wykorzystać do przypisania danych do konkretnych osób, których dane dotyczą.
82 EIOD zwrócił uwagę, że SRB przekazała Deloitte nie tylko pewne komentarze zaangażowanych akcjonariuszy i wierzycieli, ale również odpowiadający im kod alfanumeryczny, oraz że Deloitte nie miał dostępu do odpowiedzi udzielonych w fazie rejestracji. Wskazał on, że – jak wyjaśniła SRB – „Deloitte nie miał możliwości prześledzenia tożsamości każdej strony ma podstawie tego kodu poprzez odniesienie się do konkretnych danych dostarczonych przez kwalifikujące się strony w fazie rejestracji (które zawsze były przechowywane przez SRB)”. EIOD uznał jednak, że dane dostarczone w fazie rejestracji wraz z niepowtarzalnym identyfikatorem, mianowicie kodem alfanumerycznym przypisanym każdemu kwalifikującemu się uczestnikowi, stanowią doskonały przykład „dodatkowych informacji” w rozumieniu art. 3 ust. 6 rozporządzenia 2018/1725, ponieważ mogą one zostać wykorzystane przez SRB do przypisania danych konkretnej osobie, której dane dotyczą.
83 EIOD wyjaśnił, że rozporządzenie 2018/1725 nie wprowadza rozróżnienia między tymi, którzy przechowują dane spseudonimizowane, a tymi, którzy posiadają dodatkowe informacje, oraz że fakt, iż są to różne podmioty, nie powoduje anonimizacji danych „spseudonimizowanych”. Dodał on, że okoliczność, iż Deloitte sam nie był w stanie przypisać komentarzy do danych otrzymanych w fazie rejestracji, nie wyklucza tego, że otrzymane przez niego dane były spseudonimizowane. W opinii EIOD dane, które SRB udostępniała Deloitte, były danymi spseudonimizowanymi ze względu na to, zarówno, że komentarze w fazie konsultacji były danymi osobowymi, jak i dlatego że SRB dzieliła się kodem alfanumerycznym umożliwiającym powiązanie odpowiedzi otrzymanych w fazie rejestracji z odpowiedziami w fazie konsultacji, mimo że dane dostarczone przez uczestników w celu ich identyfikacji w fazie rejestracji nie zostały przekazane Deloitte. Doszedł on na tej podstawie do wniosku, że informacje przekazane Deloitte były danymi spseudonimizowanymi, a zatem danymi osobowymi w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725.
84 Na wstępie należy zauważyć, że w świetle wprowadzonych przez SRB mechanizmów dotyczących przetwarzania danych zgromadzonych w ramach procedury dotyczącej prawa do bycia wysłuchanym, opisanych w pkt 14–24 powyżej, informacje przekazane Deloitte nie dotyczyły „zidentyfikowanych” osób.
85 Należy zatem zbadać, czy EIOD mógł słusznie uznać, że informacje przekazane Deloitte są informacjami „o” osobie fizycznej „możliwej do zidentyfikowania” w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725.
86 Zgodnie z tym przepisem „możliwa do zidentyfikowania osoba fizyczna” oznacza osobę fizyczną, którą można bezpośrednio lub pośrednio zidentyfikować.
87 Motyw 16 rozporządzenia 2018/1725 przewiduje, co następuje:
„[…] Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby fizycznej, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny […]”.
88 Należy zauważyć, że w wyroku z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779) Trybunał dokonał wykładni pojęcia danych osobowych w rozumieniu art. 2 lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31), który zawiera przepis równoważny z art. 3 pkt 1 rozporządzenia 2018/1725.
89 Sprawa ta dotyczyła tego, czy dynamiczny adres protokołu internetowego (zwany dalej „adresem IP”) stanowi dane osobowe dostawcy usług medialnych online, który go zarejestrował. Trybunał uznał, że należy sprawdzić, czy ów adres IP można uznać za informację odnoszącą się do „możliwej do zidentyfikowania osoby fizycznej”, biorąc pod uwagę, po pierwsze, fakt, że nie oferował on sam temu dostawcy możliwości zidentyfikowania użytkownika, który przeglądał stronę internetową, a po drugie, okoliczność, że dodatkowe niezbędne informacje, które w połączeniu z tym adresem IP pozwoliłyby na zidentyfikowanie tego użytkownika, znajdowały się w posiadaniu dostawcy dostępu do Internetu.
90 W zakresie, w jakim motyw 16 rozporządzenia 2018/1725 odnosi się do sposobów, w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub „inną osobę”, brzmienie tego motywu sugeruje, że aby dane mogły zostać uznane za „dane osobowe” w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725, nie jest wymagane, aby wszystkie informacje umożliwiające identyfikację osoby, której dane dotyczą, musiały znajdować się w rękach tylko jednej osoby (zob. analogicznie wyrok z dnia 19 października 2016 r., Nowak, C‑582/14, EU:C:2016:779, pkt 43).
91 Trybunał dodał jednak, że okoliczność, że dodatkowe informacje konieczne do identyfikacji użytkownika strony internetowej były w posiadaniu nie dostawcy usług medialnych online, lecz dostawcy dostępu do Internetu dla tego użytkownika, mogła wykluczać to, by dynamiczne adresy IP zarejestrowane przez dostawcę usług medialnych online stanowiły dla tego dostawcy dane osobowe (wyrok z dnia 19 października 2016 r., Breyer, C‑582/14, EU:C:2016:779, pkt 44).
92 Trybunał uznał, że należy jednak ustalić, czy możliwość połączenia dynamicznego adresu IP ze wspomnianymi dodatkowymi informacjami będącymi w posiadaniu tego dostawcy dostępu do Internetu stanowi sposób, który można z uzasadnionym prawdopodobieństwem zastosować w celu zidentyfikowania osoby, której dane dotyczą (wyrok z dnia 19 października 2016 r., Breyer, C‑582/14, EU:C:2016:779, pkt 45).
93 Trybunał wskazał, że nie miałoby to miejsca, gdyby identyfikacja osoby, której dane dotyczą, była zakazana prawem lub niewykonalna w praktyce, przykładowo z powodu okoliczności, że wiąże się ona z nadmiernym nakładem czasu, kosztów i pracy ludzkiej, tak że ryzyko identyfikacji wydawałoby się w rzeczywistości znikome (wyrok z dnia 19 października 2016 r., Breyer, C‑582/14, EU:C:2016:779, pkt 46).
94 W niniejszej sprawie bezsporne jest, po pierwsze, że kod alfanumeryczny znajdujący się na informacjach przekazanych Deloitte nie pozwala sam w sobie na zidentyfikowanie autorów komentarzy, a po drugie, że Deloitte nie miał dostępu do danych identyfikacyjnych otrzymanych na etapie rejestracji, pozwalających na powiązanie uczestników z ich komentarzami za pomocą kodu alfanumerycznego.
95 EIOD wskazał w zmienionej decyzji i potwierdził na rozprawie, że dodatkowe informacje niezbędne do identyfikacji autorów komentarzy to kod alfanumeryczny i baza danych identyfikacyjnych.
96 Co prawda, jak twierdzi EIOD, w świetle pkt 43 wyroku z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779), przywołanego w pkt 90 powyżej, okoliczność, że dodatkowe informacje niezbędne do zidentyfikowania autorów komentarzy otrzymanych w fazie konsultacji nie znajdowały się w posiadaniu Deloitte, lecz SRB, nie wydaje się móc a priori wykluczyć, że informacje przekazane Deloitte stanowiły dla niego dane osobowe.
97 Jednakże z wyroku z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779) wynika również, że w celu ustalenia, czy informacje przekazane Deloitte stanowią dane osobowe, należy przyjąć punkt widzenia Deloitte w celu ustalenia, czy informacje, które zostały mu przekazane, odnoszą się do „osób możliwych do zidentyfikowania”.
98 Należy bowiem przypomnieć, po pierwsze, że stwierdzone przez EIOD w zmienionej decyzji naruszenie art. 15 ust. 1 lit. d) rozporządzenia 2018/1725 dotyczyło przekazania przez SRB Deloitte niektórych komentarzy, a nie samego ich posiadania przez SRB.
99 Po drugie, z jednej strony sytuację Deloitte można porównać z sytuacją dostawcy usług medialnych online, o którym mowa w wyroku z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779), ponieważ posiadał on informacje, a mianowicie komentarze dotyczące wyceny nr 3, które nie stanowiły informacji odnoszących się do „zidentyfikowanej osoby fizycznej”, ponieważ kod alfanumeryczny zawarty w każdej odpowiedzi nie pozwalał na bezpośrednie ujawnienie tożsamości osoby fizycznej, która wypełniła formularz. Z drugiej strony sytuację SRB można porównać z sytuacją dostawcy dostępu do Internetu w tej sprawie, ponieważ bezsporne jest, że była ona jedynym podmiotem, który posiadał dodatkowe informacje umożliwiające identyfikację zaangażowanych akcjonariuszy i wierzycieli, którzy odpowiedzieli na formularz, a mianowicie kod alfanumeryczny i baza danych identyfikacyjnych.
100 W związku z tym na podstawie pkt 44 wyroku z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779), przywołanego w pkt 91 powyżej, do EIOD należało zbadanie, czy przekazane Deloitte komentarze stanowiły dla niego dane osobowe.
101 Tym samym EIOD niesłusznie twierdzi, że nie było potrzeby badania, czy autorzy informacji przekazanych Deloitte mogli zostać ponownie zidentyfikowani przez Deloitte lub czy ta ponowna identyfikacja była w sposób uzasadniony prawdopodobna.
102 Należy stwierdzić, że w zmienionej decyzji EIOD uznał, iż okoliczność, że SRB posiadała dodatkowe informacje umożliwiające ponowną identyfikację autorów komentarzy, była wystarczająca, aby stwierdzić, że informacje przekazane Deloitte były danymi osobowymi, przyznając jednocześnie, że dane identyfikacyjne otrzymane w fazie rejestracji nie zostały Deloitte przekazane.
103 Ze zmienionej decyzji wynika zatem, że EIOD ograniczył się do zbadania możliwości ponownego zidentyfikowania autorów uwag z punktu widzenia SRB, a nie Deloitte.
104 Tymczasem z pkt 45 wyroku z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779), przywołanego w pkt 92 powyżej, wynika, że do EIOD należało ustalenie, czy możliwość połączenia informacji, które zostały przekazane Deloitte, z dodatkowymi informacjami będącymi w posiadaniu SRB stanowiła środek, który Deloitte w sposób uzasadniony mógł prawdopodobnie wykorzystać w celu zidentyfikowania autorów komentarzy.
105 W związku z tym, ponieważ EIOD nie zbadał, czy Deloitte dysponował środkami prawnymi i wykonalnymi w praktyce umożliwiającymi mu dostęp do dodatkowych informacji niezbędnych do ponownej identyfikacji autorów uwag, EIOD nie miał podstaw, by wnioskować, że informacje przekazane Deloitte stanowią informacje odnoszące się do „możliwej do zidentyfikowania osoby fizycznej” w rozumieniu art. 3 ust. 1 rozporządzenia 2018/1725.
106 Z całości powyższych rozważań wynika, że należy uwzględnić zarzut pierwszy i w konsekwencji stwierdzić nieważność zmienionej decyzji, bez konieczności badania zarzutu drugiego.
W przedmiocie kosztów
107 Zgodnie z art. 134 § 1 regulaminu postępowania przed Sądem kosztami zostaje obciążona, na żądanie strony przeciwnej, strona przegrywająca sprawę.
108 Ponieważ EIOD przegrał sprawę w zasadniczej części, zgodnie z żądaniem SRB należy obciążyć go kosztami postępowania.
Z powyższych względów
SĄD (ósma izba w składzie powiększonym)
orzeka, co następuje:
1) Stwierdza się nieważność zmienionej decyzji Europejskiego Inspektora Ochrony Danych (EIOD) z dnia 24 listopada 2020 r. wydanej w następstwie złożonego przez Jednolitą Radę ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) wniosku o dokonanie przeglądu decyzji EIOD z dnia 24 czerwca 2020 r. w przedmiocie pięciu skarg złożonych przez kilku skarżących (sprawy 2019‑947, 2019‑998, 2019‑999, 2019‑1000 i 2019‑1122).
2) W pozostałym zakresie skarga zostaje oddalona.
3) EIOD zostaje obciążony kosztami postępowania.
Wyrok ogłoszono na posiedzeniu jawnym w Luksemburgu w dniu 26 kwietnia 2023 r.
Podpisy