Language of document : ECLI:EU:T:2023:219

ROZSUDEK TRIBUNÁLU (osmého rozšířeného senátu)

26. dubna 2023(*)

„Ochrana osobních údajů – Postup odškodnění akcionářům a věřitelům v návaznosti na řešení krize bankovní instituce – Rozhodnutí EIOÚ o tom, že SRB porušil své povinnosti týkající se zpracování osobních údajů – Článek 15 odst. 1 písm. d) nařízení (EU) 2018/1725 – Pojem ,osobní údaje‘ – Článek 3 bod 1 nařízení 2018/1725 – Právo na přístup ke spisu“

Ve věci T‑557/20,

Jednotný výbor pro řešení krizí (SRB), zástupci: H. Ehlers, M. Fernandez Ruperez, A. Lapresta Bienz, jako zmocněnkyně, ve spolupráci s: H.-G. Kamann, M. Braun, F. Louis, a L. Hesse, avocats,

žalobce,

proti

Evropskému inspektoru ochrany údajů (EIOÚ), zástupci: P. Candellier, X. Lareo a T. Zerdick, jako zmocněnci,

žalovanému,

TRIBUNÁL (osmý rozšířený senát),

ve složení: A. Kornezov, předseda, G. De Baere (zpravodaj), D. Petrlík, K. Kecsmár a S. Kingston, soudci,

za soudní kancelář: I. Kurme, rada,

s přihlédnutím k písemné části řízení,

po jednání konaném dne 1. prosince 2022,

vydává tento

Rozsudek

1        Svou žalobou založenou na článku 263 SFEU se Jednotný výbor pro řešení krizí (SRB) domáhá zaprvé zrušení přepracovaného rozhodnutí Evropského inspektora ochrany údajů (EIOÚ) ze dne 24. listopadu 2020 přijatého v návaznosti na žádost SRB o přezkum rozhodnutí EIOÚ ze dne 24. června 2020 týkajícího se pěti stížností podaných několika stěžovateli (věci 2019–947, 2019–998, 2019–999, 2019–1000 a 2019–1122) (dále jen „přepracované rozhodnutí“) a zadruhé prohlášení protiprávnosti rozhodnutí EIOÚ ze dne 24. června 2020 (dále jen „původní rozhodnutí“).

 Skutečnosti předcházející sporu

2        Dne 7. června 2017 přijalo výkonné zasedání SRB rozhodnutí SRB/EES/2017/08 o programu řešení krize pro Banco Popular Español, S. A. (dále jen „program řešení krize“) na základě nařízení Evropského parlamentu a Rady (EU) č. 806/2014 ze dne 15. července 2014, kterým se stanoví jednotná pravidla a jednotný postup pro řešení krize úvěrových institucí a některých investičních podniků v rámci jednotného mechanismu pro řešení krizí a Jednotného fondu pro řešení krizí a mění nařízení (EU) č. 1093/2010 (Úř. věst. 2014, L 225, s. 1).

3        Téhož dne přijala Evropská komise rozhodnutí (EU) 2017/1246, kterým se schvaluje program řešení krize (Úř. věst. 2017, L 178, s. 15).

4        V programu řešení krize SRB, jenž měl za to, že podmínky stanovené v čl. 18 odst. 1 nařízení č. 806/2014 jsou splněny, rozhodl o zavedení režimu řešení krize ve společnosti Banco Popular Español (dále jen „Banco Popular“). SRB rozhodl o odpisu a konverzi kapitálových nástrojů společnosti Banco Popular na základě článku 21 nařízení č. 806/2014 a použití nástroje převodu činnosti podle článku 24 nařízení č. 806/2014 prostřednictvím převodu akcií na nabyvatele.

5        V návaznosti na řešení krize Banco Popular předala Deloitte SRB dne 14. června 2018 ocenění rozdílného zacházení podle čl. 20 odst. 16 až 18 nařízení č. 806/2014 provedené za účelem určení, zda by se akcionářům a věřitelům dostalo lepšího zacházení, pokud by společnost Banco Popular vstoupila do běžného úpadkového řízení (dále jen „ocenění 3“).

6        Dne 6. srpna 2018 zveřejnil SRB na svých internetových stránkách své stanovisko ze dne 2. srpna 2018 týkající se jeho předběžného rozhodnutí o tom, zda je třeba poskytnout odškodnění akcionářům a věřitelům, kterých se dotýkala opatření k řešení krize přijatá ve vztahu k Banco Popular, a zahájení procesu zajištění práva být vyslechnut (SRB/EES/2018/132) (dále jen „předběžné rozhodnutí“), jakož i nedůvěrnou verzi ocenění 3. Dne 7. srpna 2018 bylo v Úředním věstníku Evropské unie zveřejněno sdělení týkající se stanoviska SRB (Úř. věst. 2018, C 277 I, s. 1).

7        V předběžném rozhodnutí SRB uvedl, že k tomu, aby mohl přijmout konečné rozhodnutí o tom, zda je či není nutné poskytnout akcionářům a věřitelům dotčeným řešením krize společnosti Banco Popular odškodnění podle čl. 76 odst. 1 písm. e) nařízení č. 806/2014, vyzval je, aby vyjádřili zájem na uplatnění svého práva být vyslechnut podle čl. 41 odst. 2 písm. a) Listiny základních práv Evropské unie.

 K řízení týkajícímu se práva být vyslechnut

8        V předběžném rozhodnutí SRB uvedl, že řízení týkající se práva být vyslechnut bude probíhat ve dvou fázích. V první fázi (dále jen „fáze registrace“) byli dotčení akcionáři a věřitelé vyzváni, aby do 14. září 2018 vyjádřili svůj zájem na uplatnění svého práva být vyslechnut prostřednictvím on-line formuláře k registraci. SRB měl dále ověřit, zda každá strana, která projevila svůj zájem, měla skutečně postavení dotčeného akcionáře nebo věřitele. Ve druhé fázi (dále jen „fáze konzultace“) dotčení akcionáři a věřitelé, jejichž postavení bylo ověřeno SRB, mohli předložit své připomínky k předběžnému rozhodnutí, ke kterému bylo připojeno ocenění 3.

9        Ve fázi registrace měli dotčení akcionáři a věřitelé, kteří chtěli uplatnit své právo být vyslechnuti, předložit SRB doklady prokazující, že ke dni řešení krize drželi jeden nebo více kapitálových nástrojů společnosti Banco Popular, jež byly odepsány nebo konvertovány a převedeny na společnost Banco Santander, S. A. v rámci řešení krize. Doklady, které měly být předloženy, zahrnovaly doklad totožnosti a důkaz o vlastnictví jednoho z těchto kapitálových nástrojů ke dni 6. června 2017.

10      Dne 6. srpna 2018, kdy byla zahájena fáze registrace, SRB rovněž zveřejnil na internetové stránce registrace k řízení týkajícímu se práva být vyslechnut a na svých internetových stránkách prohlášení o ochraně osobních údajů týkající se zpracování osobních údajů v rámci řízení týkajícího se práva být vyslechnut (dále jen „prohlášení o ochraně osobních údajů“).

11      Dne 16. října 2018 SRB na svých internetových stránkách oznámil, že od 6. listopadu 2018 budou způsobilí akcionáři a věřitelé vyzváni k předložení písemných připomínek k předběžnému rozhodnutí ve fázi konzultace.

12      Dne 6. listopadu 2018 zaslal SRB e-mailem způsobilým akcionářům a věřitelům jediný osobní link, který jim umožňoval přístup k formuláři na internetu (dále jen „formulář“). Formulář obsahoval sedm otázek s omezeným prostorem pro zodpovězení, který umožnil dotčeným akcionářům a věřitelům předložit do 26. listopadu 2018 připomínky k předběžnému rozhodnutí, jakož i k nedůvěrnému znění ocenění 3.

13      SRB posoudil příslušné připomínky dotčených akcionářů a věřitelů týkající se předběžného rozhodnutí. Požádal společnost Deloitte, jakožto nezávislého hodnotitele, aby posoudila relevantní připomínky týkající se ocenění 3, poskytla mu dokument obsahující jeho hodnocení a přezkoumala, zda je ocenění 3 nadále platné ve světle těchto připomínek.

 Ke zpracování údajů shromážděných SRB v rámci řízení týkajícího se práva být vyslechnut

14      Údaje shromážděné ve fázi registrace, tj. důkazy o totožnosti účastníků a vlastnictví odpisovaných nebo převedených kapitálových nástrojů společnosti Banco Popular, byly přístupné omezenému počtu zaměstnanců SRB odpovědných za zpracování těchto údajů za účelem určení způsobilosti účastníků.

15      Tato data nebyla viditelná zaměstnancům SRB odpovědným za zpracování připomínek obdržených ve fázi konzultace, během níž obdrželi pouze připomínky identifikované odkazem na alfanumerický kód přiřazený každé připomínce předložené prostřednictvím formuláře. Alfanumerický kód spočíval v univerzálním jednoznačném identifikátoru o 33 číslicích, vytvořeném náhodně v okamžiku obdržení odpovědí na formulář.

16      V první fázi SRB automaticky filtroval 23822 připomínek, z nichž každá měla jedinečný alfanumerický kód, které předložilo 2855 účastníků řízení. Dva algoritmy umožnily identifikovat 20101 připomínek jako totožné. První předložený komentář byl považován za původní komentář, který byl zkoumán ve fázi analýzy, a totožné připomínky obdržené následně byly označeny jako duplicity.

17      Ve druhé fázi, a sice ve fázi analýzy, SRB zkoumal připomínky s cílem zajistit soudržnost při posuzování jejich relevance a kategorizace nebo jejich seskupení do vymezených témat. SRB tak identifikoval podobné, avšak nikoli totožné připomínky, které vycházely z týchž zdrojů dostupných na internetu.

18      Zaměstnanci SRB pověření analýzou připomínek neměli přístup k údajům shromážděným ve fázi registrace, takže tyto připomínky byly odděleny od osobních informací týkajících se osob, které je předložily, ani k datovým klíčům nebo informacím umožňujícím dohledat totožnost účastníka s odkazem na jedinečný alfanumerický kód přidělený každé připomínce.

19      V této fázi analýzy SRB porovnal všechny předložené připomínky a rozdělil je podle otázky formuláře, na kterou odpověděly. Připomínky byly následně posouzeny v závislosti na jejich relevanci a rozděleny mezi připomínky spadající do oblasti působnosti řízení týkající se práva být vyslechnut, jelikož mohly mít vliv na předběžné rozhodnutí nebo ocenění 3, a připomínky tam nespadající, jelikož se týkaly jiných aspektů řešení krize společnosti Banco Popular.

20      Připomínka spadající do oblasti působnosti řízení byla následně přidělena k jednomu z patnácti témat předem určených SRB. V závislosti na tématu, kterého se týkaly, byly připomínky rozděleny na ty, jež musely být přezkoumány SRB, protože se týkaly předběžného rozhodnutí, a ty, které musely být přezkoumány společností Deloitte, protože se týkaly ocenění 3. SRB mezi připomínkami, které bylo třeba přezkoumat, nerozlišoval ty, jež byly předloženy pouze jednou, od těch, které měly duplikace.

21      Na závěr fáze analýzy SRB identifikoval 3730 připomínek seřazených podle jejich relevance a tématu.

22      Ve třetí fázi, a sice ve fázi přezkumu, byly připomínky k předběžnému rozhodnutí zpracovány SRB a připomínky k ocenění 3, totiž 1104 komentářů, byly dne 17. června 2019 předány společnosti Deloitte prostřednictvím zabezpečeného virtuálního datového serveru vyhrazeného pro SRB. SRB nahrál soubory ke komunikaci se společností Deloitte na virtuální server, a poskytl přístup k těmto souborům omezenému a kontrolovanému počtu zaměstnanců společnosti Deloitte, kteří byli do tohoto projektu přímo zapojeni.

23      Připomínky předané společnosti Deloitte byly filtrovány, kategorizovány a seskupeny. Pokud představovaly kopie předchozích připomínek, byla společnosti Deloitte zaslána pouze jedna verze, takže individuální připomínky, které byly zopakovány, nemohly být v rámci téhož tématu odlišeny a Deloitte neměla možnost zjistit, zda určitou připomínku formuloval jeden nebo více účastníků řízení.

24      Připomínky předané společnosti Deloitte představovaly pouze ty, které byly obdrženy ve fázi konzultace, a obsahovaly alfanumerický kód. Za pomoci tohoto kódu byl SRB jediným, kdo mohl spojit připomínky s údaji obdrženými ve fázi registrace. Alfanumerický kód byl vyvinut pro účely auditu, aby bylo možné ověřit a případně a posteriori prokázat, že každá připomínka byla zpracována a řádně zohledněna. Společnost Deloitte neměla a stále nemá přístup k databázi shromážděné ve fázi registrace.

 K řízení před EIOÚ

25      Ve dnech 19., 26. a 28. října a 5. prosince 2019 dotčení akcionáři a věřitelé, kteří odpověděli na formulář, zaslali EIOÚ pět stížností (věci 2019–947, 2019–998, 2019–999, 2019–1000 a 2019–1122) (dále jen „pět stížností“) podle nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. 2018, L 295, s. 39).

26      Autoři pěti stížností (dále jen „stěžovatelé“) poukázali na skutečnost, že je SRB neinformoval o tom, že údaje shromážděné prostřednictvím odpovědí na formulář budou předány třetím osobám, tedy společnostem Deloitte a Banco Santander, v rozporu se zněním prohlášení o ochraně osobních údajů. Tvrdili, že SRB z tohoto důvodu porušil čl. 15 odst. 1 písm. d) nařízení 2018/1725, který stanoví, že „[p]okud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů […] informace [o] případn[ých] příjemc[ích] nebo kategori[ích] příjemců osobních údajů.

27      Dne 12. prosince 2019 EIOÚ informoval SRB, že obdržel oněch pět stížností, a požádal jej, aby předložil připomínky.

28      Dne 24. června 2020 přijal EIOÚ po ukončení řízení, v jehož průběhu SRB na žádost EIOÚ poskytl různá vysvětlení a stěžovatelé předložili připomínky, původní rozhodnutí. EIOÚ měl za to, že SRB porušil článek 15 nařízení 2018/1725 tím, že v prohlášení o ochraně osobních údajů neinformoval stěžovatele o možnosti, že jejich osobní údaje budou předány společnosti Deloitte. SRB proto udělil za toto porušení napomenutí na základě čl. 58 odst. 2 písm. b) nařízení 2018/1725.

29      Dne 22. července 2020 SRB požádal EIOÚ o přezkum původního rozhodnutí podle čl. 18 odst. 1 rozhodnutí EIOÚ ze dne 15. května 2020, kterým se přijímá jednací řád EIOÚ (Úř. věst. 2020, L 204, s. 49). SRB zejména poskytl podrobný popis postupu týkajícího se práva být vyslechnut a analýzy připomínek předložených ve fázi konzultace čtyřmi identifikovanými stěžovateli. Tvrdil, že informace předané společnosti Deloitte nepředstavují osobní údaje ve smyslu čl. 3 bodu 1 nařízení 2018/1725.

30      Dne 5. srpna 2020 EIOÚ informoval SRB, že se s ohledem na nově poskytnuté informace rozhodl přezkoumat původní rozhodnutí a přijme rozhodnutí, které jej nahradí.

31      Dne 24. listopadu 2020, po ukončení přezkumu, během něhož stěžovatelé předložili připomínky a SRB poskytl na žádost EIOÚ doplňující informace, přijal EIOÚ přepracované rozhodnutí.

32      EIOÚ se rozhodl revidovat původní rozhodnutí takto:

„1. EIOÚ se domnívá, že údaje, které SRB sdílel se společností Deloitte, byly pseudonymizovanými údaji jak proto, že připomínky z fáze [konzultace] byly osobními údaji, tak proto, že SRB sdílel alfanumerický kód umožňující spojit odpovědi obdržené ve fázi [registrace] s odpověďmi ve fázi [konzultace], ačkoli údaje poskytnuté účastníky za účelem identifikace ve fázi [registrace] nebyly společnosti Deloitte sděleny.

2. EIOÚ má za to, že Deloitte byla příjemcem osobních údajů stěžovatelů ve smyslu čl. 3 bodu 13 nařízení 2018/1725. Skutečnost, že Deloitte nebyla zmíněna v prohlášení SRB prohlášení o ochraně osobních údajů jakožto potenciální příjemce osobních údajů shromážděných a zpracovávaných SRB jakožto správcem v rámci řízení týkajícího se práva být vyslechnut, představuje porušení informační povinnosti stanovené v čl. 15 odst. 1 písm. d) [nařízení 2018/1725].

3. S ohledem na všechna technická a organizační opatření, která SRB zavedl ke zmírnění rizik pro práva osob na ochranu údajů v rámci postupu týkajícího se práva být vyslechnut, se EIOÚ rozhodl, že svou pravomoc přijímat nápravná opatření podle čl. 58 odst. 2 [nařízení 2018/1725] nevykoná.

4. EIOÚ nicméně doporučuje, aby se SRB v budoucích postupech týkajících se práva být vyslechnut ujistil, že jeho prohlášení o ochraně osobních údajů zahrnují zpracování osobních údajů jak ve fázi registrace, tak ve fázi konzultace, a zahrnují všechny potenciální příjemce shromážděných informací, aby byla plně splněna povinnost informovat subjekty údajů podle článku 15 [nařízení 2018/1725].“

 Návrhová žádání účastníků řízení

33      SRB po úpravě svých návrhových žádání navrhuje, aby Tribunál:

–        zrušil přepracované rozhodnutí;

–        prohlásil původní rozhodnutí za protiprávní;

–        uložil EIOÚ náhradu nákladů řízení.

34      EIOÚ navrhuje, aby Tribunál:

–        zamítl žalobu,

–        uložil SRB náhradu nákladů řízení.

 Právní otázky

 Ke druhému bodu návrhových žádání, směřujícímu k tomu, aby Tribunál „prohlásil původní rozhodnutí za protiprávní“

35      V projednávané věci je mezi účastníky řízení nesporné, že přepracované rozhodnutí zrušilo a nahradilo původní rozhodnutí.

36      EIOÚ tvrdí, že z tohoto důvodu je bod návrhových žádání týkající se původního rozhodnutí nepřípustný.

37      SRB tvrdí, že má nadále právní zájem na konstatování procesních vad, které vedly k přijetí původního rozhodnutí, a sice porušení jeho práva na obhajobu a práva na přístup ke spisu, aby se neopakovaly v budoucích řízeních. Ve své odpovědi na organizační procesní opatření upřesnil, že svým druhým bodem návrhových žádání nepožaduje zrušení původního rozhodnutí, jelikož bylo zrušeno a nahrazeno přepracovaným rozhodnutím s účinkem ex tunc, ale aby bylo prohlášeno za protiprávní.

38      Je tedy třeba mít za to, že SRB svým druhým bodem návrhových žádání usiluje o vydání deklaratorního rozsudku, a nikoli o zrušení aktu.

39      Stačí přitom připomenout, že z ustálené judikatury vyplývá, že Tribunál nemá v rámci přezkumu legality na základě článku 263 SFEU pravomoc vydávat deklaratorní rozsudky (viz rozsudek ze dne středa 4. února 2009, Omya v. Komise, T‑145/06, EU:T:2009:27, bod 23 a citovaná judikatura, a ze dne 13. září 2018, DenizBank v. Rada, T‑798/14, EU:T:2018:546, bod 135 a citovaná judikatura).

40      Z toho vyplývá, že druhý bod návrhových žádání SRB, který směřuje k tomu, aby Tribunál „prohlásil původní rozhodnutí za protiprávní“, musí být odmítnut z důvodu nedostatku pravomoci Tribunálu o něm rozhodnout.

 K přípustnosti prvního bodu návrhových žádání směřujícího ke zrušení přepracovaného rozhodnutí

41      Přípustnost žaloby spadá do nepominutelných podmínek řízení, které unijní soudce může kdykoli uplatnit i bez návrhu (viz rozsudek ze dne 16. března 2022, MEKH a FGSZ v. ACER, T‑684/19 a T‑704/19, EU:T:2022:138, bod 29 a citovaná judikatura; v tomto smyslu viz rovněž rozsudek ze dne 24. března 1993, CIRFS a další v. Komise, C‑313/90, EU:C:1993:111, bod 23). V rámci organizačního procesního opatření se Tribunál dotázal účastníků řízení zejména na otázku, zda přepracované rozhodnutí představuje napadnutelný akt podle článku 263 SFEU.

42      V odpovědi na tuto otázku EIOÚ uvádí, že skutečnost, že přepracované rozhodnutí obsahuje jeho konečný postoj a konstatování porušení nepostačuje k tomu, aby představovalo napadnutelný akt. Je nezbytné, aby tento postoj vedl ke změně právního postavení SRB. Vzhledem k tomu, že EIOÚ v přepracovaném rozhodnutí nevyužil svých opravných pravomocí stanovených v článku 58 nařízení 2018/1725, lze mít za to, že toto rozhodnutí nevyvolává právní účinky pro účely soudního přezkumu podle článku 263 SFEU.

43      SRB v odpovědi na tuto otázku tvrdí, že přepracované rozhodnutí má právní účinky, které mohou ovlivnit jeho zájmy.

44      Z judikatury vyplývá, že fyzická či právnická osoba může napadnout na základě čl. 263 čtvrtého pododstavce SFEU pouze akty s právně závaznými účinky, jimiž mohou být dotčeny její zájmy tím, že podstatným způsobem mění její právní postavení. Za napadnutelné akty jsou tak v zásadě považována opatření, která vyjadřují konečné stanovisko orgánu, instituce nebo jiného subjektu Unie ve správním řízení a jejichž účelem je vyvolat závazné právní účinky, kterými mohou být dotčeny zájmy žalobce, a nikoliv mezitímní opatření, jejichž cílem je příprava konečného rozhodnutí a která takové účinky nemají (viz rozsudky ze dne 25. června 2020, CSUE v. KF, C‑14/19 P, EU:C:2020:492, body 69 a 70 a citovaná judikatura, a ze dne 6. května 2021, ABLV Bank a další v. ECB, C‑551/19 P a C‑552/19 P, EU:C:2021:369, bod 39 a citovaná judikatura).

45      Za účelem určení, zda má určitý akt takové účinky, je třeba vycházet z podstaty tohoto aktu a posoudit uvedené účinky podle takových objektivních kritérií, jako je obsah tohoto aktu, případně s přihlédnutím k souvislostem přijetí tohoto aktu, jakož i pravomocem orgánu, instituce nebo jiného subjektu Unie, jenž je jeho autorem (viz rozsudky ze dne 22. dubna 2021, thyssenkrupp Electrical Steel a thyssenkrupp Electrical Steel Ugo v. Komise, C‑572/18 P, EU:C:2021:317, bod 48 a citovaná judikatura; ze dne 6. května 2021, ABLV Bank a další v. ECB, C‑551/19 P a C‑552/19 P, EU:C:2021:369, bod 41 a citovaná judikatura, a ze dne 6. října 2021, Tognoli a další v. Parlament, C‑431/20 P, EU:C:2021:807, bod 34 a citovaná judikatura).

46      Zaprvé je třeba připomenout, že přepracované rozhodnutí přijal EIOÚ na žádost SRB o přezkum původního rozhodnutí. Přepracované rozhodnutí přijaté na konci kontradiktorního správního řízení ruší a nahrazuje původní rozhodnutí a představuje rozhodnutí, které s konečnou platností stanoví stanovisko EIOÚ k pěti stížnostem.

47      Článek 64 odst. 2 nařízení 2018/1725 týkající se práva na účinnou soudní ochranu přitom stanoví, že proti rozhodnutí EIOÚ lze podat žalobu k Soudnímu dvoru Evropské unie.

48      Zejména článek 18 jednacího řádu EIOÚ, na jehož základě bylo přijato přepracované rozhodnutí, ve svém odstavci 3 mimo jiné stanoví:

„Pokud EIOÚ v návaznosti na žádost o přezkum jeho rozhodnutí o stížnosti vydá nové, přepracované rozhodnutí, poučí EIOÚ stěžovatele a dotčený orgán o jejich právu toto nové rozhodnutí napadnout u Soudního dvora Evropské unie v souladu s článkem 263 [SFEU].“

49      V průvodním dopise k přepracovanému rozhodnutí zaslanému SRB se v tomto ohledu uvádí:

„Vemte prosím na vědomí, že toto rozhodnutí zrušuje a nahrazuje rozhodnutí přijaté dne 24. června 2020. Do dvou měsíců od přijetí tohoto rozhodnutí a za podmínek stanovených v článku 263 [SFEU] můžete podat žalobu na neplatnost tohoto rozhodnutí u Soudního dvora Evropské unie.“

50      Zadruhé, pokud jde o podstatu přepracovaného rozhodnutí, je třeba připomenout, že EIOÚ dospěl k závěru, že SRB porušil informační povinnost stanovenou v čl. 15 odst. 1 písm. d) nařízení 2018/1725, a dále že mu v podstatě doporučil, aby se ve svých budoucích prohlášeních o ochraně osobních údajů ujistil, že takové porušení nebude opakovat.

51      Zaprvé je třeba uvést, že podle článku 65 nařízení 2018/1725 může takové porušení založit odpovědnost SRB jakožto správce dotčených údajů, jsou-li splněny ostatní podmínky stanovené Smlouvami.

52      Kromě toho podle čl. 66 odst. 1 nařízení 2018/1725 EIOÚ při rozhodování o tom, zda by orgánu nebo instituci Unie měla být uložena správní pokuta, a při rozhodování o výši této pokuty zohlední mimo jiné veškerá podobná předchozí porušení tímto orgánem nebo subjektem. Pokud by se tedy SRB nemusel řídit doporučením EIOÚ změnit v budoucnu svá prohlášení o ochraně osobních údajů v řízeních týkajících se práva být vyslechnut, mohlo by být obdobné porušení čl. 15 odst. 1 písm. d) nařízení 2018/1725 ze strany SRB konstatováno a mohlo by vést k uložení pokuty.

53      Z toho vyplývá, že konstatování v přepracovaném rozhodnutí, že SRB porušil čl. 15 odst. 1 písm. d) nařízení 2018/1725, má závazné právní účinky, i když EIOÚ uvedl, že se vzdává výkonu své pravomoci přijmout nápravná opatření podle čl. 58 odst. 2 nařízení 2018/1725.

54      Vzhledem k předcházejícím úvahám je přepracované rozhodnutí unijním aktem, kterým mohou být dotčeny zájmy jeho adresáta tím, že podstatným způsobem mění jeho právní postavení. Představuje tedy napadnutelný akt ve smyslu článku 263 SFEU.

55      Je tudíž třeba mít za to, že první bod návrhových žádání směřující ke zrušení přepracovaného rozhodnutí je přípustný.

 K věci samé

56      Na podporu žaloby předkládá SRB dva žalobní důvody. První žalobní důvod vychází z porušení čl. 3 bodu 1 nařízení 2018/1725 v rozsahu, v němž informace předané společnosti Deloitte nepředstavují osobní údaje. Druhý žalobní důvod vychází z porušení práva na řádnou správu zakotveného v článku 41 Listiny.

57      V rámci prvního žalobního důvodu SRB tvrdí, že EIOÚ porušil čl. 3 bod 1 nařízení 2018/1725, když měl v přepracovaném rozhodnutí za to, že informace předané společnosti Deloitte představují osobní údaje stěžovatelů.

58      Článek 3 bod 1 nařízení 2018/1725 definuje osobní údaje jako „veškeré informace o identifikované nebo identifikovatelné fyzické osobě [a uvádí, že] identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“.

59      Z této definice vyplývá, že informace představuje osobní údaj, zejména jsou-li splněny dvě kumulativní podmínky, a sice že tato informace „[je] o“ fyzické osobě a tato osoba je „identifikovaná nebo identifikovatelná“.

 K podmínce stanovené v čl. 3 bodě 1 nařízení 2018/1725, podle níž informace„[je] o“ fyzické osobě

60      SRB tvrdí, že připomínky obdržené ve fázi konzultace a předané společnosti Deloitte se netýkaly konkrétních osob ve smyslu čl. 3 bodu 1 nařízení 2018/1725. Domnívá se, že odůvodnění uvedené v rozsudku ze dne 20. prosince 2017, Nowak (C‑434/16, EU:C:2017:994), se nevztahuje na připomínky stěžovatelů. Tvrdí, že informace obsažené v připomínkách stěžovatelů byly skutkovými a právními informacemi nezávislými na osobách nebo na osobních kvalitách stěžovatelů a nesouvisely s jejich soukromým životem. Má za to, že cílem řízení týkajícího se práva být vyslechnut je posoudit skutkové a právní argumenty týkající se předběžného rozhodnutí a ocenění 3 pocházející od velkého počtu zúčastněných stran, jejichž osobnost a totožnost nejsou relevantní pro posouzení jejich připomínek.

61      EIOÚ tvrdí, že obsah připomínek dotčených akcionářů a věřitelů je informací, která se jich „týká“, jelikož jejich odpovědi obsahovaly a odrážely jejich osobní názory, i když byly založeny na veřejně přístupných informacích. Odpovědi stěžovatelů a dalších účastníků na formulář představují osobní údaje bez ohledu na to, zda se jedná o původní vyjádření nebo vyjádření z hlediska sdíleného s jinými, a bez ohledu na to, zda je SRB považuje za informace nezávislé na konkrétních právech dotčených akcionářů a věřitelů na ochranu soukromí.

62      EIOÚ se rovněž domnívá, že připomínky představují osobní údaje z důvodu jejich účinku. Posouzení těchto připomínek, jehož cílem bylo ověřit platnost ocenění 3 a legalitu předběžného rozhodnutí, mohlo mít dopad na zájmy a práva účastníků v oblasti finanční náhrady. Konečně tvrdí, že účelem shromažďování připomínek bylo přiznat každému účastníku řízení procesní práva za účelem shromáždění individuálních názorů.

63      V přepracovaném rozhodnutí EIOÚ uvedl, že odpovědi obdržené ve fázi konzultace představují osobní údaje stěžovatelů, neboť obsahují jejich osobní názory, a tudíž představují informace, které se jich týkají, i když se za účelem vyjádření svého stanoviska opíraly o veřejně dostupné informace. Měl za to, že skutečnost, že stěžovatelé vyjádřili podobná, avšak nikoli totožná, stanoviska, jako ostatní účastníci, neznamená, že jejich odpovědi neodrážejí jejich vlastní názor. EIOÚ se proto domníval, že odpovědi poskytnuté stěžovateli a ostatními účastníky ve volném textu je třeba považovat za osobní údaje, bez ohledu na to, zda se jedná o jedinečné původní vyjádření nebo vyjádření z hlediska sdíleného s jinými, nebo inspirované či vycházející z veřejně přístupných informací. Dodal, že tento závěr není v rozporu s rozsudkem ze dne 20. prosince 2017, Nowak (C‑434/16, EU:C:2017:994), v němž Soudní dvůr nerozlišoval mezi odpověďmi, které v plném rozsahu vypracovaly dotazované osoby, a odpověďmi z jiných zdrojů znalostí.

64      Je třeba posoudit, zda EIOÚ mohl mít správně za to, že informace předané společnosti Deloitte „[jsou] o“ fyzické osobě ve smyslu čl. 3 bodu 1 nařízení 2018/1725.

65      Úvodem je třeba konstatovat, že v přepracovaném rozhodnutí EIOÚ kvalifikoval jako osobní údaje všechny připomínky vyjádřené dotčenými akcionáři a věřiteli v rámci fáze konzultace a neomezil své posouzení pouze na informace předané společnosti Deloitte.

66      Vzhledem k tomu, že porušení čl. 15 odst. 1 písm. d) nařízení 2018/1725 konstatované v přepracovaném rozhodnutí se týkalo pouze skutečnosti, že SRB v prohlášení o ochraně osobních údajů neuvedl, že Deloitte je potenciálním příjemcem určitých údajů, je třeba se omezit na posouzení, zda informace předané společnosti Deloitte byly osobními údaji ve smyslu čl. 3 bodu 1 nařízení 2018/1725.

67      V tomto ohledu čl. 3 bod 13 nařízení 2018/1725 definuje „příjemce“ jako „fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jiný subjekt, kterým jsou osobní údaje zpřístupněny, ať už se jedná o třetí stranu, či nikoli“.

68      Podle judikatury použití výrazu „veškeré informace“ v rámci definice pojmu „osobní údaj“ v čl. 3 bodě 1 směrnice 2018/1725 odráží cíl unijního zákonodárce přiznat tomuto pojmu široký význam, přičemž tento pojem se neomezuje na informace, které jsou citlivé nebo patří do soukromé sféry, ale potenciálně zahrnuje všechny druhy informací, a to jak objektivní, tak subjektivní ve formě názoru nebo hodnocení pod podmínkou, že „[jsou] o“ dotčené osobě (obdobně viz rozsudek ze dne 20. prosince 2017, Nowak, C‑434/16, EU:C:2017:994, bod 34).

69      Pokud jde o posledně uvedenou podmínku, Soudní dvůr rozhodl, že tato podmínka je splněna, pokud je informace z důvodu svého obsahu, účelu nebo účinků spojena s určitou osobou (rozsudek ze dne 20. prosince 2017, Nowak, C‑434/16, EU:C:2017:994, bod 35).

70      V přepracovaném rozhodnutí však EIOÚ nezkoumal obsah, účel ani účinky informací předaných společnosti Deloitte.

71      Omezil se totiž na uvedení toho, že připomínky předložené stěžovateli ve fázi konzultace odrážejí jejich názory nebo stanoviska, a pouze na tomto základě dospěl k závěru, že představují informace, které se jich týkají, což postačuje k tomu, aby byly kvalifikovány jako osobní údaje.

72      Na jednání EIOÚ potvrdil, že podle něj jakýkoli osobní názor představuje osobní údaj. Rovněž připustil, že nepřezkoumal obsah připomínek předložených stěžovateli ve fázi konzultace.

73      Nelze zajisté vyloučit, že osobní stanoviska nebo názory představují osobní údaje. Z bodů 34 a 35 rozsudku ze dne 20. prosince 2017, Nowak (C‑434/16, EU:C:2017:994), citovaných v bodech 68 a 69 výše, však vyplývá, že takový závěr nemůže být založen na domněnce, jakou je domněnka popsaná v bodech 71 a 72 výše, ale musí být založen na přezkumu, jehož cílem je určit, zda stanovisko s určitou osobou souvisí svým obsahem, účelem nebo účinky.

74      Z toho vyplývá, že jelikož EIOÚ takový přezkum neprovedl, nemohl dospět k závěru, že informace předané společnosti Deloitte představují informace „o“ fyzické osobě ve smyslu čl. 3 bodu 1 nařízení 2018/1725.

75      Tribunál nyní přezkoumá posouzení EIOÚ týkající se otázky, zda se informace předané společnosti Deloitte týkaly „identifikované nebo identifikovatelné“ fyzické osoby.

 K podmínce stanovené v čl. 3 bodě 1 nařízení 2018/1725, podle níž se informace týkají „identifikované nebo identifikovatelné“ fyzické osoby

76      SRB tvrdí, že na rozdíl od toho, co uvedl EIOÚ, sdělení alfanumerického kódu společnosti Deloitte nevedlo k „pseudonymizaci“ údajů. Tyto údaje zůstaly anonymní, jelikož SRB nesdílel se společností Deloitte informace umožňující znovu identifikovat autory připomínek.

77      SRB tvrdí, že údaje jsou anonymizovány pro třetí osobu, i když informace umožňující opětovnou identifikaci nejsou neodvolatelně odstraněny a jsou uchovány původním zpracovatelem, jelikož formát, v němž jsou údaje poskytovány této třetí osobě, již neumožňuje identifikaci osoby, která připomínky podala, ani ji nečiní přiměřeně pravděpodobnou. SRB tvrdí, že na rozdíl od toho, co uvedl EIOÚ v přepracovaném rozhodnutí, nařízení 2018/1725 a judikatura Soudního dvora vyžadují posouzení rizika opětovné identifikace.

78      Konkrétněji SRB tvrdí, že podmínky stanovené judikaturou Soudního dvora týkající se existence rizika opětovné identifikace, pokud všechny informace, které mohou umožnit identifikaci, nejsou v držení jediné osoby, ale několika stran, nejsou v projednávané věci splněny. Na jedné straně alfanumerický kód přidělený individuálním připomínkám neumožňuje společnosti Deloitte znovu identifikovat osoby, které předložily připomínky. Další informace uvedené v čl. 3 bodě 6 nařízení 2018/1725 jsou shromážděny pomocí databáze umožňující dekódování, ke kterému má přístup pouze SRB. Na druhé straně, pokud jde o kritérium přiměřené pravděpodobnosti kombinace informací, Deloitte neměla a stále nemá právní prostředky na přístup k dalším informacím a k identifikaci.

79      EIOÚ tvrdí, že skutečnost, že Deloitte neměla přístup k informacím, které má SRB k dispozici a umožňují opětovnou identifikaci, nemá za následek, že se „pseudonymizované“ údaje předané společnosti Deloitte staly anonymními údaji. Není nutné určit, zda autoři informací předaných společnosti Deloitte mohli tuto společnost zpětně identifikovat nebo zda byla tato zpětná identifikace rozumně pravděpodobná. „Pseudonymizované“ údaje takovými zůstávají i v případě, že jsou předány třetí osobě, která nemá k dispozici další informace.

80      EIOÚ tvrdí, že použití výrazu „nepřímo“ v čl. 3 bodě 1 nařízení 2018/1725 znamená, že k tomu, aby byla informace kvalifikována jako osobní údaj, není nutné, aby sama o sobě umožňovala identifikovat subjekt údajů. Pokud jde dále o prostředky, které mohou být rozumně použity jak správcem, tak jakoukoli jinou osobou, není vyžadováno, aby se veškeré informace umožňující identifikovat subjekt údajů musely nacházet v rukou jediné osoby.

81      V přepracovaném rozhodnutí měl EIOÚ za to, že informace předané společnosti Deloitte jsou „pseudonymizovanými“ údaji. V tomto ohledu uvedl, že rozdíl mezi „pseudonymizovanými“ a anonymními údaji spočívá ve skutečnosti, že v případě anonymních údajů neexistují „další informace“, které by mohly být použity pro přiřazení údajů ke konkrétnímu subjektu údajů, zatímco v případě „pseudonymizovaných“ údajů takové další informace existují. Za účelem posouzení, zda jsou údaje anonymní nebo „pseudonymizovány“, je proto třeba přezkoumat, zda existují „další informace“, které lze použít pro přiřazení údajů ke konkrétním subjektům údajů.

82      EIOÚ uvedl, že SRB předal společnosti Deloitte nejen některé připomínky dotčených akcionářů a věřitelů, ale i odpovídající alfanumerický kód, ale že Deloitte neměla přístup k odpovědím poskytnutým ve fázi registrace. Uvedl, že, jak vysvětlil SRB, „Deloitte nemohla vysledovat totožnost všech stran používajících tento kód s odkazem na konkrétní údaje poskytnuté způsobilými stranami v rámci fáze registrace (vždy uchovávané ze strany SRB)“. EIOÚ měl nicméně za to, že údaje poskytnuté ve fázi registrace, jakož i jednoznačný identifikátor, tj. alfanumerický kód přidělený každému způsobilému účastníkovi, představují dokonalý příklad „dalších informací“ ve smyslu čl. 3 bodu 6 nařízení 2018/1725, neboť je může SRB použít k přiřazení údajů ke konkrétnímu subjektu údajů.

83      EIOÚ vysvětlil, že nařízení 2018/1725 nerozlišuje mezi těmi, kteří uchovávají „pseudonymizované“ údaje, a těmi, kteří mají k dispozici další informace, a skutečnost, že se jedná o odlišné subjekty, nečiní „pseudonymizovanými“ údaji anonymními. Dodal, že skutečnost, že Deloitte nemohla sama o sobě přiřadit připomínky k údajům obdrženým ve fázi registrace, nevylučuje, že údaje, které obdržela, byly „pseudonymizovány“. Podle názoru EIOÚ byly údaje, jež SRB sdílel se společností Deloitte, „pseudonymizovanými“ údaji jak proto, že připomínky obdržené ve fázi konzultace byly osobními údaji, tak proto, že SRB sdílel alfanumerický kód, který umožňuje spojit odpovědi poskytnuté ve fázi registrace s odpověďmi poskytnutými ve fázi konzultace, ačkoli údaje poskytnuté účastníky za účelem identifikace ve fázi registrace nebyly společnosti Deloitte sděleny. Na základě toho dospěl k závěru, že informace předané společnosti Deloitte jsou „pseudonymizovanými“ údaji, a tudíž osobními údaji ve smyslu čl. 3 odst. 1 nařízení 2018/1725.

84      Úvodem je třeba uvést, že s ohledem na mechanismy zavedené SRB pro zpracování údajů shromážděných v rámci řízení týkajícího se práva být vyslechnut, popsané v bodech 14 až 24 výše, se informace předané společnosti Deloitte netýkaly „identifikovaných“ osob.

85      Je tedy třeba zkoumat, zda EIOÚ mohl mít správně za to, že se informace předané společnosti Deloitte týkaly „identifikovatelné“ fyzické osoby ve smyslu čl. 3 bodu 1 nařízení 2018/1725.

86      Podle tohoto ustanovení se identifikovatelnou fyzickou osobou rozumí fyzická osoba, kterou lze přímo či nepřímo identifikovat.

87      Bod 16 odůvodnění nařízení 2018/1725 stanoví:

„[…] Osobní údaje, na něž byla uplatněna pseudonymizace a jež by mohly být přiřazeny fyzické osobě na základě dodatečných informací, by měly být považovány za informace o identifikovatelné fyzické osobě. Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby. Ke stanovení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, by měly být vzaty v úvahu všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji […]“

88      Je třeba uvést, že v rozsudku ze dne 19. října 2016, Breyer (C‑582/14, EU:C:2016:779), Soudní dvůr vyložil pojem osobní údaje ve smyslu čl. 2 písm. a) směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355), který obsahuje ustanovení rovnocenné článku 3 bodu 1 nařízení 2018/1725.

89      V uvedené věci vyvstala otázka, zda dynamická adresa internetového protokolu (dále jen „IP adresa“) představuje osobní údaj ve vztahu k poskytovateli online mediálních služeb, který ho uchovával. Soudní dvůr měl za to, že je třeba ověřit, zda tato IP adresa může být kvalifikována jako informace týkající se „identifikovatelné fyzické osoby“, přičemž je třeba zohlednit skutečnost, že sama o sobě tomuto poskytovateli nenabízela možnost identifikovat uživatele, který navštívil internetové stránky, a dále skutečnost, že potřebné doplňující informace, jež by v případě spojení s touto IP adresou umožnily identifikovat uvedeného uživatele, byly drženy poskytovatelem internetového připojení.

90      Jelikož bod 16 odůvodnění nařízení 2018/1725 odkazuje na prostředky, které mohou být rozumně použity jak správcem, tak „jinou osobou“, znění tohoto bodu odůvodnění nasvědčuje tomu, že, aby určitý údaj mohl být kvalifikován jako „osobní údaj“ ve smyslu čl. 3 odst. 1 nařízení 2018/1725, není požadováno, aby se všechny informace umožňující identifikovat subjekt údajů musely nacházet v rukách jediné osoby (obdobně viz rozsudek ze dne 19. října 2016, Breyer, C‑582/14, EU:C:2016:779, bod 43).

91      Soudní dvůr však dodal, že skutečnost, že další informace nezbytné k identifikaci uživatele internetových stránek nemá v držení poskytovatel online mediálních služeb, nýbrž poskytovatel internetového připojení tohoto uživatele, tedy nemůže vyloučit, že dynamické IP adresy uchovávané poskytovatelem online mediálních služeb představují pro tohoto poskytovatele osobní údaje (rozsudek ze dne 19. října 2016, Breyer, C‑582/14, EU:C:2016:779, bod 44).

92      Soudní dvůr měl nicméně za to, že je třeba určit, zda možnost spojení dynamické IP adresy s uvedenými dalšími informacemi, které má k dispozici tento poskytovatel internetového připojení, představuje prostředek, který může být rozumně použit pro identifikaci subjektu údajů (rozsudek ze dne 19. října 2016, Breyer, C‑582/14, EU:C:2016:779, bod 45).

93      Soudní dvůr uvedl, že by tomu tak nebylo v situaci, kdy by identifikace subjektu údajů byla zakázána zákonem nebo by byla prakticky neproveditelná, například z důvodu skutečnosti, že by vyžadovala nepřiměřené úsilí z časového hlediska a z hlediska ekonomických a lidských zdrojů, takže riziko identifikace by se ve skutečnosti jevilo bezvýznamné (rozsudek ze dne 19. října 2016, Breyer, C‑582/14, EU:C:2016:779, bod 46).

94      V projednávaném případě není zpochybňováno, že alfanumerický kód uvedený na informacích předaných společnosti Deloitte sám o sobě neumožňoval identifikovat autory připomínek a Deloitte neměla přístup k identifikačním údajům obdrženým ve fázi registrace, které by umožnily spojit účastníky s jejich připomínkami díky alfanumerickému kódu.

95      EIOÚ v přepracovaném rozhodnutí uvedl a na jednání potvrdil, že další informace nezbytné k identifikaci autorů připomínek spočívaly v alfanumerickém kódu a identifikační databázi.

96      Je pravda, jak tvrdí EIOÚ, že s ohledem na bod 43 rozsudku ze dne 19. října 2016, Breyer (C‑582/14, EU:C:2016:779), citovaný v bodě 90 výše, skutečnost, že doplňující informace nezbytné k identifikaci autorů připomínek obdržených ve fázi konzultace neměla v držení Deloitte, ale SRB, se nejeví být takové povahy, aby a priori vylučovala, že informace předané společnosti Deloitte pro ni představovaly osobní údaje.

97      Z rozsudku ze dne 19. října 2016, Breyer (C‑582/14, EU:C:2016:779), však rovněž vyplývá, že pro určení, zda informace předané společnosti Deloitte představují osobní údaje, je třeba vycházet z jejího úhlu pohledu za účelem určení, zda se informace, které jí byly předány, týkají „identifikovatelných osob“.

98      Je totiž třeba zaprvé připomenout, že porušení čl. 15 odst. 1 písm. d) nařízení 2018/1725, jež konstatoval EIOÚ v přepracovaném rozhodnutí, se týkalo toho, že SRB předal některé připomínky společnosti Deloitte, a nikoli pouze držení těchto připomínek ze strany SRB.

99      Zadruhé lze na jedné straně situaci společnosti Deloitte srovnávat se situací poskytovatele online mediálních služeb, o níž se jednalo v rozsudku ze dne 19. října 2016, Breyer (C‑582/14, EU:C:2016:779), jelikož měla v držení informace, a sice připomínky týkající se ocenění 3, které nepředstavovaly informace týkající se „identifikované fyzické osoby“, jelikož alfanumerický kód obsažený v každé odpovědi neumožňoval přímo odhalit totožnost fyzické osoby, která formulář vyplnila. Na druhé straně lze situaci SRB srovnat se situací poskytovatele internetového připojení v této věci, jelikož je nesporné, že byl jediným poskytovatelem, jenž měl k dispozici další informace umožňující identifikaci dotčených akcionářů a věřitelů, kteří odpověděli na formulář, a sice alfanumerický kód a identifikační databázi.

100    Podle bodu 44 rozsudku ze dne 19. října 2016, Breyer (C‑582/14, EU:C:2016:779), citovaného v bodě 91 výše, tedy přísluší EIOÚ, aby přezkoumal, zda připomínky předané společnosti Deloitte představovaly ve vztahu k ní osobní údaje.

101    EIOÚ tak nesprávně tvrdí, že nebylo nutné zjišťovat, zda autoři informací předaných společnosti Deloitte byli touto společností zpětně identifikovatelní nebo zda tato zpětná identifikace byla rozumně možná.

102    Je nutno konstatovat, že EIOÚ měl v přepracovaném rozhodnutí za to, že skutečnost, že SRB měl k dispozici další informace umožňující zpětnou identifikaci autorů připomínek, postačovala k závěru, že informace předané společnosti Deloitte jsou osobními údaji, přičemž uznal, že identifikační údaje obdržené ve fázi registrace nebyly společnosti Deloitte sděleny.

103    Z přepracovaného rozhodnutí tak vyplývá, že EIOÚ pouze zkoumal možnost zpětné identifikace autorů připomínek z pohledu SRB, a nikoli společnosti Deloitte.

104    Z bodu 45 rozsudku ze dne 19. října 2016, Breyer (C‑582/14, EU:C:2016:779), citovaného v bodě 92 výše, přitom vyplývá, že EIOÚ měl určit, zda možnost kombinovat informace, které byly předány společnosti Deloitte, s dalšími informacemi, jež má SRB k dispozici, představuje prostředek, který Deloitte mohla rozumně uplatnit k identifikaci autorů připomínek.

105    Vzhledem k tomu, že EIOÚ nezkoumal, zda společnost Deloitte disponovala v praxi legálními a proveditelnými prostředky, jež by jí umožňovaly přístup k dalším informacím nezbytným ke zpětné identifikaci autorů připomínek, nemohl EIOÚ dospět k závěru, že informace předané společnosti Deloitte představují informace týkající se „identifikovatelné fyzické osoby“ ve smyslu čl. 3 bodu 1 nařízení 2018/1725.

106    Ze všech předcházejících úvah vyplývá, že je třeba vyhovět prvnímu žalobnímu důvodu, a tudíž zrušit přepracované rozhodnutí, aniž by bylo nutné zkoumat druhý žalobní důvod.

 K nákladům řízení

107    Podle čl. 134 odst. 1 jednacího řádu Tribunálu se účastníku řízení, který neměl úspěch ve věci, uloží náhrada nákladů řízení, pokud to účastník řízení, který měl ve věci úspěch, požadoval.

108    Vzhledem k tomu, že SRB požadoval náhradu nákladů řízení a EIOÚ neměl v podstatné části svých návrhových žádání úspěch, je důvodné posledně uvedenému uložit náhradu nákladů řízení.

Z těchto důvodů

TRIBUNÁL (osmý rozšířený senát)

rozhodl takto:

1)      Přepracované rozhodnutí Evropského inspektora ochrany údajů (EIOÚ) ze dne 24. listopadu 2020 přijaté v návaznosti na žádost Jednotného výboru pro řešení krizí (SRB) o přezkum rozhodnutí EIOÚ ze dne 24. června 2020 týkajícího se pěti stížností podaných několika stěžovateli (věci 2019–947, 2019–998, 2019–999, 2019–1000 a 2019–1122) se zrušuje.

2)      Ve zbývající části se žaloba zamítá.

3)      EIOÚ se ukládá náhrada nákladů řízení.

Kornezov

De Baere

Petrlík

Kecsmár

 

      Kingston

Takto vyhlášeno na veřejném zasedání v Lucemburku dne 26. dubna 2023.

Podpisy.


*      Jednací jazyk: angličtina.