TRIBUNALENS DOM (åttonde avdelningen i utökad sammansättning)
26 april 2023(*)
”Skydd av personuppgifter – Ersättningsförfarande för aktieägare och borgenärer efter resolution av ett bankinstitut – EDPS: beslut om att SRB har brutit mot sina skyldigheter avseende behandling av personuppgifter – Artikel 15.1 d i förordning (EU) 2018/1725 – Begreppet personuppgifter – Artikel 3.1 i förordning 2018/1725 – Rätt till tillgång till handlingar i ärendet”
I mål T‑557/20,
Gemensamma resolutionsnämnden (SRB), företrädd av H. Ehlers, M. Fernández Rupérez och A. Lapresta Bienz, samtliga i egenskap av ombud, biträdda av H.-G. Kamann, M. Braun, F. Louis, och L. Hesse, advokater,
sökande,
mot
Europeiska datatillsynsmannen (EDPS), företrädd av P. Candellier, X. Lareo och T. Zerdick, samtliga i egenskap av ombud,
svarande,
meddelar
TRIBUNALEN (åttonde avdelningen i utökad sammansättning),
sammansatt av ordföranden A. Kornezov samt domarna G. De Baere (referent), D. Petrlík, K. Kecsmár och S. Kingston,
justitiesekreterare: handläggaren I. Kurme,
efter den skriftliga delen av förfarandet,
efter muntlig förhandling den 1 december 2022,
följande
Dom
1 Genom sin talan enligt artikel 263 FEUF yrkar Gemensamma resolutionsnämnden (SRB) dels ogiltigförklaring av Europeiska datatillsynsmannens (EDPS) ändrade beslut av den 24 november 2020 som antogs efter SRB:s begäran om omprövning av EDPS: beslut av den 24 juni 2020 avseende fem klagomål som lämnats in av flera klaganden (ärendena 2019–947, 2019–998, 2019–999, 2019–1000 och 2019–1122) (nedan kallat det ändrade beslutet), dels förklaring om rättsstridighet av EDPS: beslut av den 24 juni 2020 (nedan kallat det ursprungliga beslutet).
Bakgrund till tvisten
2 Den 7 juni 2017 antog SRB:s verkställande session beslut SRB/EES/2017/08 om en resolutionsordning för Banco Popular Español, SA (nedan kallad resolutionsordningen), på grundval av Europaparlamentets och rådets förordning (EU) nr 806/2014 av den 15 juli 2014 om fastställande av enhetliga regler och ett enhetligt förfarande för resolution av kreditinstitut och vissa värdepappersföretag inom ramen för en gemensam resolutionsmekanism och en gemensam resolutionsfond och om ändring av förordning (EU) nr 1093/2010 (EUT L 225, 2014, s. 1).
3 Samma dag antog Europeiska kommissionen beslut (EU) 2017/1246 om godkännande av resolutionsordningen för Banco Popular Español (EUT L 178, 2017, s. 15).
4 I resolutionsordningen fann SRB att villkoren i artikel 18.1 i förordning nr 806/2014 var uppfyllda och beslutade att placera Banco Popular Español (nedan kallad Banco Popular) under resolution. SRB beslutade att skriva ned och konvertera Banco Populars kapitalinstrument i enlighet med artikel 21 i förordning nr 806/2014 och att tillämpa försäljningsverktyget enligt artikel 24 i förordning nr 806/2014 genom överlåtelse av aktier till en köpare.
5 Efter Banco Populars resolution överlämnade Deloitte den 14 juni 2018 till SRB den värdering av skillnaden i behandling i enlighet med artikel 20.16–20.18 i förordning nr 806/2014 med syftet att göra det möjligt att bedöma huruvida aktieägare och borgenärer skulle ha behandlats bättre om Banco Popular under resolution hade inlett ett normalt insolvensförfarande (nedan kallad värdering 3).
6 Den 6 augusti 2018 offentliggjorde SRB på sin webbplats sitt tillkännagivande av den 2 augusti 2018 av sitt preliminära beslut om huruvida aktieägare och borgenärer skulle beviljas ersättning till följd av de resolutionsåtgärder som hade vidtagits mot Banco Popular och om inledandet av ett förfarande för att låta de berörda utöva rätten att yttra sig (SRB/EES/2018/132) (nedan kallat det preliminära beslutet). Tillsammans med tillkännagivandet offentliggjordes en icke-konfidentiell version av värdering 3. Den 7 augusti 2018 offentliggjordes ett meddelande om SRB:s tillkännagivande i Europeiska unionens officiella tidning (EUT C 277 I, 2018, s. 1).
7 I det preliminära beslutet uppmanade SRB de aktieägare och borgenärer som hade berörts av Banco Populars resolution, för att kunna fatta ett slutligt beslut om huruvida de hade rätt till ersättning i enlighet med artikel 76.1 e i förordning nr 806/2014, att anmäla sitt intresse av att utöva sin rätt att yttra sig enligt artikel 41.2 a i Europeiska unionens stadga om de grundläggande rättigheterna.
Förfarandet för att låta de berörda utöva rätten att bli hörda
8 I det preliminära beslutet angav SRB att förfarandet för att låta de berörda utöva rätten att bli hörda sbestod av två delar. I den första delen (nedan kallad anmälningsfasen) uppmanades berörda aktieägare och borgenärer att anmäla sitt intresse av att utöva rätten att bli hörda genom att fram till den 14 september 2018 fylla i ett onlineformulär. Därefter skulle SRB kontrollera om alla de parter som hade anmält sitt intresse faktiskt hade ställning som berörd aktieägare eller borgenär. I den andra delen (nedan kallad samrådsfasen) kunde de berörda aktieägare och borgenärer vars ställning hade kontrollerats av SRB lämna kommentarer till det preliminära beslutet, till vilket värdering 3 bifogades.
9 Under anmälningsfasen var de berörda aktieägare och borgenärer som ville utöva sin rätt att bli hörda skyldiga att tillhandahålla SRB de handlingar som visade på att de vid tidpunkten för resolutionen innehade ett eller flera kapitalinstrument i Banco Popular som skrivits ned eller konverterats och överlåtits till Banco Santander, SA i samband med resolutionen. De styrkande handlingar som skulle tillhandahållas omfattade en identitetshandling och ett bevis på ägande av ett av dessa kapitalinstrument den 6 juni 2017.
10 Den 6 augusti 2018, dagen då anmälningsfasen inleddes, offentliggjorde SRB också på webbplatsen för att anmäla sig till förfarandet för att låta de berörda utöva rätten att bli hörda och på sin webbplats ett meddelande om skydd av personuppgifter som rörde behandlingen av personuppgifter inom ramen för förfarandet för att låta de berörda utöva rätten att bli hörda (nedan kallat meddelandet om skydd av personuppgifter).
11 Den 16 oktober 2018 meddelade SRB på sin webbplats att de berättigade aktieägare och borgenärer från och med den 6 november 2018, under samrådsfasen, skulle uppmanas att lämna skriftliga kommentarer till det preliminära beslutet.
12 Den 6 november 2018 skickade SRB via e‑post till berättigade aktieägare och borgenärer en unik och personlig länk som gav dem tillgång till ett onlineformulär (nedan kallat formuläret). Formuläret bestod av sju frågor med begränsat svarsutrymme. De berörda aktieägarna och borgenärerna kunde använda formuläret för att senast den 26 november 2018 lämna kommentarer till det preliminära beslutet samt till den icke-konfidentiella versionen av värdering 3.
13 SRB granskade de relevanta kommentarerna till det preliminära beslutet från de berörda aktieägarna och borgenärerna. SRB bad Deloitte om att i egenskap av oberoende värderingsperson granska de relevanta kommentarerna till värdering 3, tillhandahålla SRB ett dokument med sin värdering och bedöma huruvida värdering 3 fortfarande var aktuell mot bakgrund av dessa kommentarer.
Behandling av de uppgifter som samlats in av SRB inom ramen för förfarandet för att låta de berörda utöva rätten att bli hördA
14 De uppgifter som samlades in under anmälningsfasen, nämligen bevisen på deltagarnas identitet och på ägandet av nedskrivna eller konverterade och överlåtna kapitalinstrument från Banco Popular, var tillgängliga för ett begränsat antal SRB-anställda som hade till uppgift att behandla dessa uppgifter för att fastställa huruvida deltagarna var berättigade.
15 Dessa uppgifter var inte synliga för de SRB-anställda som hanterade de kommentarer som inkom under samrådsfasen, då de endast mottog kommentarer som identifierades med hjälp av en alfanumerisk kod som tilldelades varje kommentar som hade lämnats via formuläret. Den alfanumeriska koden bestod av en universell, 33-siffrig unik identifierare som genererades slumpmässigt vid mottagandet av svar på formuläret.
16 Som ett första steg granskade SRB automatiskt 23 822 kommentarer, var och en med en unik alfanumerisk kod, som lämnats av 2 855 personer som deltog i förfarandet. Två algoritmer identifierade 20 101 kommentarer som identiska. De kommentarer som lämnades först ansågs vara de ursprungliga kommentarerna, som granskades under analysfasen, medan de identiska kommentarer som inkom senare identifierades som dubbletter.
17 Som ett andra steg, nämligen analysfasen, granskade SRB kommentarerna i syfte att säkerställa en enhetlig bedömning av deras relevans och klassificering eller gruppering i vissa temaområden. SRB identifierade liknande, men inte identiska, kommentarer som byggde på samma källor som fanns tillgängliga på internet.
18 De SRB-anställda som ansvarade för analysen av kommentarerna hade inte tillgång till de uppgifter som samlats in under anmälningsfasen, vilket innebar att kommentarerna var åtskilda från uppgifterna om de personer som hade lämnat dem. De hade inte heller tillgång till datanyckeln eller till den information som kunde användas för att spåra en deltagares identitet med hjälp av den unika alfanumeriska kod som tilldelades varje kommentar.
19 Under denna analysfas jämförde SRB alla kommentarer och klassificerade dem utifrån den fråga i formuläret som de besvarade. Kommentarerna bedömdes sedan utifrån deras relevans och delades upp mellan, å ena sidan, dem som omfattades av tillämpningsområdet för förfarandet för att låta de berörda utöva rätten att yttra sig, eftersom dessa kommentarer kunde påverka det preliminära beslutet eller värdering 3, och, å andra sidan, dem som inte omfattades av tillämpningsområdet på grund av att de rörde andra aspekter av Banco Populars resolution.
20 De kommentarer som omfattades av förfarandets tillämpningsområde tilldelades sedan ett av de femton temaområden som SRB hade definierat på förhand. Beroende på temaområdet var kommentarerna uppdelade mellan de kommentarer som SRB skulle granska, på grund av att de gällde det preliminära beslutet, och de kommentarer som Deloitte skulle granska, på grund av att de gällde värdering 3. Bland de kommentarer som skulle granskas gjorde SRB ingen åtskillnad mellan dem som endast hade lämnats en gång och dem som hade dubbletter.
21 I slutet av analysfasen identifierade SRB 3 730 kommentarer som klassificerades utifrån deras relevans och tema.
22 Under det tredje steget, nämligen granskningsfasen, hanterade SRB kommentarerna till det preliminära beslutet. De kommentarer som avsåg värdering 3, närmare bestämt 1 104 kommentarer, överfördes den 17 juni 2019 till Deloitte via en säker virtuell dataserver som var avsedd för SRB. SRB laddade upp de filer som skulle överlämnas till Deloitte på den virtuella servern och gav åtkomst till dessa filer till ett begränsat och kontrollerat antal Deloitte-anställda som var direkt involverade i detta projekt.
23 De kommentarer som överfördes till Deloitte filtrerades, klassificerades och sammanställdes. I de fall det rörde sig om kopior av tidigare kommentarer överlämnades endast en version till Deloitte, vilket innebär att de enskilda kommentarer som hade kopierats inte kunde särskiljas inom samma tema och att Deloitte inte kunde veta om en kommentar hade lämnats av en eller flera deltagare i förfarandet.
24 Endast de kommentarer som hade inkommit under samrådsfasen överfördes till Deloitte. De tilldelades en alfanumerisk kod. Med hjälp av denna kod var SRB den enda som kunde koppla samman kommentarerna med de uppgifter som mottagits under anmälningsfasen. Den alfanumeriska koden utvecklades för revisionsändamål, för att kunna kontrollera och eventuellt i efterhand visa att varje kommentar hade hanterats och vederbörligen beaktats. Deloitte hade - och har ännu - inte tillgång till den databas som innehöll de personuppgifter som samlats in under anmälningsfasen.
Förfarandet vid EDPS
25 Berörda aktieägare och borgenärer som hade svarat på formuläret ingav den 19, 26 och 28 oktober samt den 5 december 2019 fem klagomål (ärendena 2019–947, 2019–998, 2019–999, 2019–1000 och 2019–1122) till EDPS (nedan kallade de fem klagomålen) med stöd av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 2018, s. 39).
26 De personer som lämnade in de fem klagomålen (nedan kallade klagandena) har hävdat att SRB inte informerat dem om att de uppgifter som samlats in med hjälp av svaren på formuläret skulle överlämnas till tredje part, närmare bestämt Deloitte och Banco Santander, i strid med villkoren i meddelandet om skydd av personuppgifter. De har gjort gällande att SRB därmed hade brutit mot artikel 15.1 d i förordning 2018/1725, enligt vilken ”[o]m personuppgifter som rör en registrerad person samlas in från den registrerade ska den personuppgiftsansvarige, vid den tidpunkt då personuppgifterna erhålls, till den registrerade lämna information om … [m]ottagarna eller de kategorier av mottagare som [i förekommande fall] ska ta del av personuppgifterna”.
27 Den 12 december 2019 meddelade EDPS SRB om att myndigheten hade mottagit de fem klagomålen och bad SRB om att inkomma med synpunkter.
28 Den 24 juni 2020 antog EDPS, efter ett förfarande där SRB, på begäran av EDPS, lämnade olika förklaringar och klagandena inkom med synpunkter, det ursprungliga beslutet. EDPS ansåg att SRB hade brutit mot artikel 15 i förordning 2018/1725 i och med att SRB i meddelandet om skydd av personuppgifter inte hade informerat klagandena om att deras personuppgifter kunde komma att lämnas ut till Deloitte. Följaktligen utfärdade EDPS reprimander till SRB för denna överträdelse enligt artikel 58.2 b i förordning 2018/1725.
29 Den 22 juli 2020 begärde SRB att EDPS skulle ompröva det ursprungliga beslutet i enlighet med artikel 18.1 i EDPS: beslut av den 15 maj 2020 om antagande av dess arbetsordning (EUT L 204, 2020, s. 49). SRB tillhandahöll bland annat en detaljerad beskrivning av förfarandet för att låta de berörda utöva rätten att yttra sig och analysen av de kommentarer som fyra av de identifierade klagandena lämnade under samrådsfasen. SRB har gjort gällande att de uppgifter som överlämnats till Deloitte inte utgjorde personuppgifter i den mening som avses i artikel 3.1 i förordning 2018/1725.
30 Den 5 augusti 2020 meddelade EDPS SRB om att EDPS, mot bakgrund av de nya bevis som framkommit, hade beslutat att ompröva det ursprungliga beslutet och skulle anta ett beslut som skulle ersätta detta beslut.
31 Den 24 november 2020 antog EDPS det ändrade beslutet efter ett omprövningsförfarande under vilket klagandena inkom med synpunkter och SRB lämnade kompletterande uppgifter på EDPS begäran.
32 EDPS beslutade att ändra det ursprungliga beslutet enligt följande:
”1. EDPS anser att de uppgifter som SRB delade med Deloitte var pseudonymiserade uppgifter, både på grund av att kommentarerna i [samråds]fasen var personuppgifter och på grund av att SRB delade den alfanumeriska kod som kopplade samman de svar som mottogs under [anmälnings]fasen med dem under [samråds]fasen, även om de uppgifter som deltagarna lämnade för att identifiera sig under [anmälnings]fasen inte lämnades ut till Deloitte.
2. EDPS anser att Deloitte var mottagare av klagandenas personuppgifter i den mening som avses i artikel 3.13 i förordning 2018/1725. Det faktum att Deloitte inte nämndes i SRB:s meddelande om skydd av personuppgifter som potentiell mottagare av de personuppgifter som SRB samlat in och behandlat i egenskap av personuppgiftsansvarig inom ramen för förfarandet för att låta de berörda utöva rätten att yttra sig utgör ett åsidosättande av informationsskyldigheten enligt artikel 15.1 d [i förordning 2018/1725].
3. Mot bakgrund av samtliga de tekniska och organisatoriska åtgärder som SRB har vidtagit för att minska riskerna för enskildas rätt till skydd av personuppgifter i samband med förfarandet för att låta de berörda utöva rätten att yttra sig, beslutar EDPS att inte utöva sina korrigerande befogenheter enligt artikel 58.2 [i förordning 2018/1725].
4. EDPS rekommenderar ändå att SRB ser till att dess meddelanden om skydd av personuppgifter i framtida förfaranden för att låta de berörda utöva rätten att yttra sig omfattar behandlingen av personuppgifter både under anmälnings- och samrådsfasen och alla potentiella mottagare av de uppgifter som samlas in, för att fullt ut uppfylla skyldigheten att informera de registrerade i enlighet med artikel 15 [i förordning 2018/1725].”
Parternas yrkanden
33 SRB yrkar, efter att ha justerat sina yrkanden, att tribunalen ska
– ogiltigförklara det ändrade beslutet,
– fastställa att det ursprungliga beslutet är rättsstridigt, och
– förplikta EDPS att ersätta rättegångskostnaderna.
34 EDPS yrkar att tribunalen ska
– ogilla talan, och
– förplikta SRB att ersätta rättegångskostnaderna.
Rättslig bedömning
Det andra yrkandet: Tribunalen ska ”fastställa att det ursprungliga beslutet är rättsstridigt”
35 I förevarande fall är det ostridigt mellan parterna att det ändrade beslutet upphävde och ersatte det ursprungliga beslutet.
36 EDPS har gjort gällande att den anmärkning som avser det ursprungliga beslutet därför inte kan tas upp till prövning.
37 SRB har gjort gällande att den fortfarande har ett intresse av att de förfarandefel som ledde till antagandet av det ursprungliga beslutet, det vill säga åsidosättanden av dess rätt till försvar och att få tillgång till handlingarna i ärendet, fastställs, så att de inte upprepas i framtida förfaranden. SRB angav i sitt svar på en åtgärd för processledning att den med sitt andra yrkande inte yrkade att det ursprungliga beslutet skulle ogiltigförklaras, eftersom det ursprungliga beslutet hade upphävts och ersatts av det ändrade beslutet med retroaktiv verkan. SRB yrkade i stället att det ursprungliga beslutet skulle förklaras rättsstridigt.
38 Det måste därför anses att SRB med sitt andra yrkande avsåg att få till stånd en fastställelsedom och inte att en rättsakt skulle ogiltigförklaras.
39 Det bör emellertid erinras om att det av fast rättspraxis framgår att tribunalen, inom ramen för en prövning av en rättsakts lagenlighet med stöd av artikel 263 FEUF, inte är behörig att avkunna fastställelsedomar (se dom av den 4 februari 2009, Omya/kommissionen, T‑145/06, EU:T:2009:27, punkt 23 och där angiven rättspraxis, och dom av den 13 september 2018, DenizBank/rådet, T‑798/14, EU:T:2018:546, punkt 135 och där angiven rättspraxis).
40 Härav följer att SRB:s andra yrkande, som avser att tribunalen ska ”fastställa att det ursprungliga beslutet är rättsstridigt”, ska avvisas på grund av att tribunalen saknar behörighet att pröva det.
Huruvida det första yrkandet om ogiltigförklaring av det ändrade beslutet kan tas upp till prövning
41 Sakprövningsförutsättningarna utgör en fråga om tvingande rättegångshinder. Det ankommer på tribunalen att när som helst pröva sakprövningsförutsättningarna ex officio (se dom av den 16 mars 2022, MEKH och FGSZ/ACER, T‑684/19 och T‑704/19, EU:T:2022:138, punkt 29 och där angiven rättspraxis, se, även, för ett liknande resonemang, dom av den 24 mars 1993, CIRFS m.fl./kommissionen, C‑313/90, EU:C:1993:111, punkt 23). Som en åtgärd för processledning frågade tribunalen bland annat parterna om huruvida det ändrade beslutet utgjorde en rättsakt mot vilken talan kunde väckas enligt artikel 263 FEUF.
42 Som svar på denna fråga uppger EDPS att det faktum att det ändrade beslutet innehåller dess slutliga ståndpunkt och ett fastställande av överträdelse inte är tillräckligt för att det ska utgöra en rättsakt mot vilken talan kan väckas. Denna ståndpunkt borde påverka SRB:s rättsliga ställning. Eftersom EDPS inte utövade sina korrigerande befogenheter enligt artikel 58 i förordning 2018/1725 i det ändrade beslutet, kan det anses att beslutet inte har några rättsverkningar med avseende på domstolsprövning enligt artikel 263 FEUF.
43 SRB har i sitt svar på denna fråga gjort gällande att det ändrade beslutet har rättsverkningar som kan påverka dess intressen.
44 Det framgår av rättspraxis att talan enligt artikel 263 fjärde stycket FEUF endast kan väckas mot sådana rättsakter som är avsedda att ha sådana bindande rättsverkningar som kan påverka en fysisk eller juridisk persons intressen, genom att klart förändra dennes rättsliga ställning. Åtgärder genom vilka den ställning som intas av en av unionens institutioner, organ eller byråer slutgiltigt slås fast efter ett administrativt förfarande, och vilka har tvingande rättsverkningar som kan påverka sökandens intressen, utgör i princip sådana rättsakter mot vilka talan kan väckas, med undantag av mellankommande åtgärder som syftar till att förbereda det slutliga beslutet, vilka inte har sådana rättsverkningar (se dom av den 25 juni 2020, CSUE/KF, C‑14/19 P, EU:C:2020:492, punkterna 69 och 70 och där angiven rättspraxis, och dom av den 6 maj 2021, ABLV Bank m.fl./ECB, C‑551/19 P och C‑552/19 P, EU:C:2021:369, punkt 39 och där angiven rättspraxis).
45 Det framgår av domstolens praxis att det, för att avgöra huruvida den angripna rättsakten har bindande rättsverkningar, är nödvändigt att se till rättsaktens innebörd och att bedöma dessa verkningar mot bakgrund av objektiva kriterier, såsom rättsaktens innehåll, i förekommande fall med beaktande av det sammanhang i vilket den antogs och den antagande institutionens befogenheter (se dom av den 22 april 2021, thyssenkrupp Electrical Steel och thyssenkrupp Electrical Steel Ugo/kommissionen, C‑572/18 P, EU:C:2021:317, punkt 48 och där angiven rättspraxis, dom av den 6 maj 2021, ABLV Bank m.fl./ECB, C‑551/19 P och C‑552/19 P, EU:C:2021:369, punkt 41 och där angiven rättspraxis, och dom av den 6 oktober 2021, Tognoli m.fl./parlamentet, C‑431/20 P, EU:C:2021:807, punkt 34 och där angiven rättspraxis).
46 Det bör erinras om att det ändrade beslutet antogs av EDPS efter en begäran från SRB om att ompröva det ursprungliga beslutet. Det ändrade beslutet, som antogs efter ett kontradiktoriskt administrativt förfarande, upphäver och ersätter det ursprungliga beslutet och utgör ett beslut som slutligt slår fast EDPS ståndpunkt avseende de fem klagomålen.
47 I artikel 64.2 i förordning 2018/1725 om rätten till ett effektivt rättsmedel föreskrivs dock att talan kan väckas mot EDPS: beslut vid Europeiska unionens domstol.
48 I artikel 18.3 i EDPS arbetsordning, på grundval av vilken det ändrade beslutet antogs, föreskrivs bland annat följande:
”När EDPS efter en begäran om omprövning av sitt beslut avseende ett klagomål utfärdar ett nytt, ändrat beslut ska
EDPS upplysa klaganden och den berörda institutionen om att de kan överklaga detta nya beslut vid Europeiska unionens domstol i enlighet med artikel 263 [FEUF].”
49 I den skrivelse som åtföljde det ändrade beslutet och som skickats till SRB angavs följande
”Observera att detta beslut upphäver och ersätter det beslut som antogs den 24 juni 2020. Talan om ogiltigförklaring av detta beslut kan väckas vid Europeiska unionens domstol inom två månader från antagandet av detta beslut och på de villkor som anges i artikel 263 [FEUF].”
50 Vad gäller innehållet i det ändrade beslutet ska det erinras dels om att EDPS drog slutsatsen att SRB hade åsidosatt den informationsskyldighet som föreskrivs i artikel 15.1 d i förordning 2018/1725, dels om att EDPS i sak rekommenderade att SRB i sina framtida meddelanden om skydd av personuppgifter skulle se till att inte upprepa en sådan överträdelse.
51 För det första ska det påpekas att enligt artikel 65 i förordning 2018/1725 kan en sådan överträdelse medföra att SRB, i egenskap av personuppgiftsansvarig för de berörda uppgifterna, blir ansvarig under förutsättning att övriga villkor i fördragen iakttas.
52 För det andra ska EDPS, enligt artikel 66.1 i förordning 2018/1725, när myndigheten beslutar om en unionsinstitution eller ett unionsorgan ska påföras administrativa sanktionsavgifter och om bötesbeloppet, bland annat beakta alla liknande överträdelser som tidigare begåtts av institutionen eller organet. Om SRB inte följer EDPS: rekommendation att ändra sina meddelanden om skydd av personuppgifter i framtida förfaranden för att låta de berörda utöva rätten att yttra sig, kan en liknande överträdelse av artikel 15.1 d i förordning 2018/1725 från SRB:s sida komma att konstateras och leda till att böter åläggs.
53 Härav följer att fastställandet i det ändrade beslutet att SRB har brutit mot artikel 15.1 d i förordning 2018/1725 har bindande rättsverkningar, även om EDPS uppgav att den avstod från att utöva korrigerande befogenheter enligt artikel 58.2 i förordning 2018/1725.
54 Mot bakgrund av det ovan anförda utgör det ändrade beslutet en unionsrättsakt som kan påverka mottagarens intressen genom att klart förändra dennes rättsliga ställning. Det rör sig således om en rättsakt mot vilken talan kan väckas i den mening som avses i artikel 263 FEUF.
55 Det första yrkandet om ogiltigförklaring av det ändrade beslutet kan således tas upp till prövning.
Prövning i sak
56 Till stöd för sin talan åberopar SRB två grunder. Den första grunden avser ett åsidosättande av artikel 3.1 i förordning 2018/1725 med anledning av att den information som överlämnats till Deloitte inte utgjorde personuppgifter. Den andra grunden avser ett åsidosättande av rätten till god förvaltning enligt artikel 41 i stadgan om de grundläggande rättigheterna.
57 SRB har som första grund gjort gällande att EDPS åsidosatte artikel 3.1 i förordning 2018/1725 på grund av att EDPS i det ändrade beslutet slog fast att den information som överlämnats till Deloitte utgjorde personuppgifter om klagandena.
58 I artikel 3.1 i förordning 2018/1725 definieras personuppgifter som ”varje upplysning som avser en identifierad eller identifierbar fysisk person …; varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”.
59 Det följer av denna definition att en upplysning utgör en personuppgift bland annat om två kumulativa villkor är uppfyllda, nämligen dels att upplysningen ”avser” en fysisk person, dels att denna person är ”identifierad eller identifierbar”.
Villkoret i artikel 3.1 i förordning 2018/1725 att upplysningen ”avser” en fysisk person
60 SRB har gjort gällande att de kommentarer som inkom under samrådsfasen och som överlämnats till Deloitte inte avsåg specifika personer i den mening som avses i artikel 3.1 i förordning 2018/1725. SRB anser att resonemanget i domen av den 20 december 2017, Nowak (C‑434/16, EU:C:2017:994), inte kan tillämpas på klagandenas kommentarer. SRB har hävdat att informationen i klagandenas kommentarer utgjorde sakliga och rättsliga uppgifter som var oberoende av klagandena eller deras personliga egenskaper och inte hade något samband med deras privatliv. Den anser att syftet med förfarandet för att låta de berörda utöva rätten att yttra sig var att bedöma faktiska och rättsliga argument avseende det preliminära beslutet och värdering 3 från ett stort antal berörda parter, vars personlighet och identitet inte var relevant för att granska deras kommentarer.
61 EDPS har hävdat att innehållet i de berörda aktieägarnas och borgenärernas kommentarer utgjorde en upplysning som ”avsåg” dem, eftersom deras svar innehöll och avspeglade deras personliga åsikter, även om de grundade sig på offentligt tillgänglig information. Svaren på formuläret från klagandena och andra deltagare skulle utgöra personuppgifter, oavsett om de är ett uttryck för en speciell synpunkt eller en synpunkt som delas med andra och oavsett om SRB anser att de inte har samband med de berörda aktieägares och borgenärers specifika rätt till privatliv.
62 EDPS anser också att kommentarerna utgör personuppgifter på grund av deras verkan. Bedömningen av dessa kommentarer, som syftade till att kontrollera huruvida värdering 3 fortfarande var aktuell och det preliminära beslutet lagenligt, kunde påverka deltagarnas intressen och rättigheter i fråga om ekonomisk ersättning. Slutligen har EDPS gjort gällande att syftet med att samla in kommentarer var att ge alla parter processuella rättigheter för att samla in individuella synpunkter.
63 I det ändrade beslutet angav EDPS att de svar som mottogs under samrådsfasen utgjorde klagandenas personuppgifter, eftersom de innehöll deras personliga åsikter och därför utgjorde uppgifter om dem, även om de grundade sig på offentligt tillgänglig information för att uttrycka sina synpunkter. EDPS ansåg att det faktum att klagandena uttryckte synpunkter som liknade, men inte var identiska med, andra deltagares synpunkter inte innebar att deras svar inte avspeglade deras egna åsikter. EDPS ansåg därför att samtliga de svar som klagandena och andra deltagare lämnat i fritextfälten borde betraktas som personuppgifter, oavsett om de uttryckte en speciell och unik synpunkt eller en synpunkt som delades med andra eller som inspirerats eller hämtats från offentligt tillgänglig information. EDPS tillade att denna slutsats inte motsades av domen av den 20 december 2017, Nowak (C‑434/16, EU:C:2017:994), i vilken domstolen inte gjorde någon åtskillnad mellan de svar som helt och hållet utarbetats av svaranden och de svar som hämtats från andra informationskällor.
64 Det bör undersökas huruvida EDPS med rätta kunde anse att de uppgifter som lämnades ut till Deloitte ”avsåg” en fysisk person i den mening som avses i artikel 3.1 i förordning 2018/1725.
65 Inledningsvis bör det noteras att EDPS i det ändrade beslutet klassificerade alla de kommentarer som de berörda aktieägare och borgenärer hade lämnat under samrådsfasen som personuppgifter och inte begränsade sin bedömning till den information som överlämnats till Deloitte.
66 I den mån det åsidosättande av artikel 15.1 d i förordning 2018/1725 som fastställts i det ändrade beslutet endast avsåg den omständigheten att SRB inte hade preciserat i meddelandet om skydd av personuppgifter att Deloitte kunde vara mottagare av vissa uppgifter, bör det endast prövas huruvida den information som överlämnats till Deloitte utgör personuppgifter i den mening som avses i artikel 3.1 i förordning 2018/1725.
67 I detta avseende definieras i artikel 3.13 i förordning 2018/1725 mottagare som ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som personuppgifterna utlämnas till, oavsett om det rör sig om en tredje part eller inte”.
68 Enligt rättspraxis avspeglar användningen i definitionen av begreppet personuppgifter i artikel 3.1 i förordning 2018/1725 av uttrycket varje upplysning unionslagstiftarens målsättning att ge begreppet en vidsträckt innebörd. Begreppet är inte avgränsat till känsliga upplysningar eller upplysningar av privat karaktär, utan kan innefatta samtliga upplysningar, såväl objektiva upplysningar som subjektiva upplysningar som lämnas i form av åsikter eller bedömningar, under förutsättning att upplysningarna ”avser” den registrerade (se, analogt, dom av den 20 december 2017, Nowak, C‑434/16, EU:C:2017:994, punkt 34).
69 Vad gäller det sistnämnda villkoret har domstolen slagit fast att villkoret är uppfyllt när upplysningen på grund av sitt innehåll, syfte eller verkan är knuten till en bestämd person (dom av den 20 december 2017, Nowak, C‑434/16, EU:C:2017:994, punkt 35).
70 I det ändrade beslutet undersökte EDPS dock inte innehållet, syftet eller verkan av den information som lämnats ut till Deloitte.
71 EDPS angav endast att de kommentarer som klagandena hade lämnat under samrådsfasen avspeglade deras åsikter eller synpunkter och drog redan på denna grund slutsatsen att de utgjorde uppgifter som avsåg dem, vilket räckte för att de skulle klassificeras som personuppgifter.
72 Vid förhandlingen bekräftade EDPS att myndigheten ansåg att alla personliga åsikter utgjorde personuppgifter. Den medgav också att den inte hade granskat innehållet i de kommentarer som klagandena lämnat under samrådsfasen.
73 Det kan visserligen inte uteslutas att personliga synpunkter eller åsikter utgör personuppgifter. Det framgår emellertid av punkterna 34 och 35 i domen av den 20 december 2017, Nowak (C‑434/16, EU:C:2017:994), som det hänvisas till i punkterna 68 och 69 ovan, att en sådan slutsats inte kan grunda sig på ett sådant antagande som det som beskrivits i punkterna 71 och 72 ovan, utan på en prövning av huruvida synpunkten på grund av sitt innehåll, syfte eller verkan är knuten till en bestämd person.
74 Härav följer att EDPS, i avsaknad av en sådan prövning, inte kunde dra slutsatsen att den information som överlämnats till Deloitte utgjorde information som ”avser” en fysisk person i den mening som avses i artikel 3.1 i förordning 2018/1725.
75 Tribunalen kommer därefter att pröva EDPS: bedömning av huruvida den information som överlämnats till Deloitte avsåg en ”identifierad eller identifierbar” fysisk person.
Villkoret i artikel 3.1 i förordning 2018/1725 att upplysningen avser en ”identifierad eller identifierbar” fysisk person
76 SRB har gjort gällande att överlämnandet av den alfanumeriska koden till Deloitte, i motsats till vad EDPS hävdar, inte ledde till en ”pseudonymisering” av uppgifterna. Dessa skulle ha förblivit anonyma, eftersom SRB inte skulle ha delat med Deloitte den information som kunde användas för att återidentifiera de personer som lämnat kommentarer.
77 SRB har gjort gällande att uppgifterna anonymiseras för tredje man, även om de uppgifter som möjliggör återidentifieringen inte oåterkalleligen raderas och förvaras av det ursprungliga personuppgiftsbiträdet, eftersom det format i vilket uppgifterna lämnas ut till denna tredje part inte längre eller inte rimligtvis kan användas för att identifiera de personer som inkommit med synpunkter. SRB hävdar att förordning 2018/1725 och domstolens praxis, i motsats till vad EDPS ansåg i det ändrade beslutet, kräver en bedömning av risken för återidentifiering.
78 SRB har särskilt gjort gällande att de villkor som uppställs i domstolens praxis och som avser risken för återidentifiering när alla de uppgifter som kan användas för identifiering inte innehas av en enda person utan av flera parter inte är uppfyllda i förevarande fall. För det första skulle den alfanumeriska kod som tilldelades enskilda kommentarer inte kunna användas av Deloitte för att återidentifiera de personer som lämnat kommentarer. De kompletterande uppgifter som avses i artikel 3.6 i förordning 2018/1725 består av den databas som möjliggör avkodning och som endast SRB har tillgång till. När det, för det andra, gäller kriteriet om rimlig sannolikhet för att informationen kopplas samman, skulle Deloitte inte ha haft och har fortfarande inte några rättsliga möjligheter att få tillgång till de kompletterande och identifierande uppgifterna.
79 EDPS hävdar att den omständigheten att Deloitte inte hade tillgång till de uppgifter som SRB innehade och som kunde användas för återidentifiering inte innebär att de ”pseudonymiserade” uppgifter som överlämnats till Deloitte blev anonyma uppgifter. Det är inte nödvändigt att undersöka huruvida enskilda i den information som överlämnats till Deloitte kunde återidentifieras av Deloitte eller om en sådan återidentifiering var rimligen sannolik. ”Pseudonymiserade” uppgifter skulle förbli så även när de överlämnas till en tredje part som inte innehar kompletterande uppgifter.
80 EDPS hävdar att användningen av begreppet indirekt i artikel 3.1 i förordning 2018/1725 innebär att det, för att en upplysning ska betraktas som personuppgift, inte är nödvändigt att denna upplysning ensam identifierar den registrerade. När det gäller de hjälpmedel som rimligen kan komma att användas både av den personuppgiftsansvarige och av någon annan person, krävs det inte heller att all den information som kan användas för att identifiera den registrerade måste finnas hos en enda person.
81 I det ändrade beslutet ansåg EDPS att den information som överlämnats till Deloitte var ”pseudonymiserade” uppgifter. Härvidlag angav den att skillnaden mellan ”pseudonymiserade” och anonyma uppgifter var att det i fråga om anonyma uppgifter inte fanns några ”kompletterande uppgifter” som kunde användas för att tillskriva uppgifterna en specifik registrerad, medan det i fråga om ”pseudonymiserade” uppgifter fanns sådana kompletterande uppgifter. För att bedöma om uppgifterna var anonyma eller ”pseudonymiserade” var det därför nödvändigt att undersöka huruvida det fanns ”kompletterande uppgifter” som kunde användas för att hänföra uppgifterna till specifika registrerade.
82 EDPS noterade att SRB inte bara hade överlämnat vissa kommentarer från berörda aktieägare och borgenärer till Deloitte, utan även motsvarande alfanumeriska koder, och att Deloitte inte hade tillgång till de svar som lämnats under anmälningsfasen. Såsom EDPS förklarat, uppgav SRB att ”Deloitte inte kunde spåra identiteten på någon part med denna kod genom att hänvisa till de konkreta uppgifter som de berättigade partnerna lämnade under anmälningsfasen (som alltid har förvarats av SRB)”. EDPS ansåg dock att de uppgifter som lämnades under anmälningsfasen samt den unika identifieraren, nämligen den alfanumeriska kod som tillskrevs alla berättigade deltagare, var ett perfekt exempel på ”kompletterande uppgifter” i den mening som avses i artikel 3.6 i förordning (EU) nr 2018/1725, eftersom den kunde användas av SRB för att tillskriva uppgifterna en specifik registrerad.
83 EDPS förklarade att förordning 2018/1725 inte gjorde någon åtskillnad mellan dem som förvarade de ”pseudonymiserade” uppgifterna och dem som innehade de kompletterande uppgifterna och att det faktum att de var olika personer inte gjorde de ”pseudonymiserade” uppgifterna anonyma. EDPS tillade att det faktum att Deloitte inte ensam kunde tillskriva kommentarerna de uppgifter som mottagits under anmälningsfasen inte uteslöt att de uppgifter som den mottagit var ”pseudonymiserade”. EDPS anser att de uppgifter som SRB delade med Deloitte var ”pseudonymiserade” uppgifter, både eftersom de kommentarer som mottogs under samrådsfasen var personuppgifter och eftersom SRB delade den alfanumeriska kod som kopplade samman de svar som lämnades under anmälningsfasen till dem som lämnades under samrådsfasen, även om de uppgifter som deltagarna lämnade för att identifiera sig under anmälningsfasen inte delades med Deloitte. SRB drog slutsatsen att den information som överlämnats till Deloitte var ”pseudonymiserade” uppgifter och därmed personuppgifter i den mening som avses i artikel 3.1 i förordning 2018/1725.
84 Det ska inledningsvis påpekas att de uppgifter som överlämnats till Deloitte, med hänsyn till de mekanismer som SRB infört för att behandla de uppgifter som samlades in inom ramen för förfarandet för att låta de berörda utöva rätten att yttra sig, som beskrivits i punkterna 14–24 ovan, inte avsåg några ”identifierade” personer.
85 Det bör därför prövas huruvida EDPS med rätta kunde anse att de uppgifter som överlämnats till Deloitte avsåg en ”identifierbar” fysisk person i den mening som avses i artikel 3.1 i förordning 2018/1725.
86 Enligt denna bestämmelse är en ”identifierbar fysisk person” en person som direkt eller indirekt kan identifieras.
87 I skäl 16 i förordningen 2018/1725 föreskrivs följande:
”… Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen …”
88 Det bör noteras att domstolen i sin dom av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), tolkade begreppet personuppgifter i den mening som avses i artikel 2 a i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31), som innehåller en bestämmelse som motsvarar artikel 3.1 i förordning 2018/1725.
89 I det målet uppkom frågan huruvida en dynamisk IP-adress utgjorde personuppgifter i förhållande till den leverantör av elektroniska informations- eller kommunikationstjänster som hade registrerat den. Domstolen fann att det var nödvändigt att undersöka huruvida en sådan IP-adress kunde anses utgöra en upplysning som avser en ”identifierad fysisk person”, med beaktande av att den inte i sig möjliggjorde för denna leverantör att identifiera den användare som besökte webbplatsen, och att internetleverantören innehade ytterligare upplysningar, vilka – om de kopplades samman med denna IP-adress – gjorde det möjligt att identifiera nämnda användare.
90 I den mån det i skäl 16 i förordning 2018/1725 hänvisas till de hjälpmedel som rimligen kan användas både av den personuppgiftsansvarige och av en ”annan person”, antyder ordalydelsen i det skälet därigenom att det inte krävs att en enda person innehar alla upplysningar som är nödvändiga för att identifiera den aktuella personen för att en uppgift ska anses utgöra en ”personuppgift” i den mening som avses i artikel 3.1 i förordning 2018/1725 (se, analogt, dom av den 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punkt 43).
91 Domstolen tillade emellertid att den omständigheten att de ytterligare upplysningar som var nödvändiga för att identifiera en användare av en webbplats inte innehades av leverantören av elektroniska informations- eller kommunikationstjänster, utan av användarens internetleverantör, inte uteslöt att de dynamiska IP-adresser som leverantören av elektroniska informations- eller kommunikationstjänster hade registrerat utgjorde personuppgifter (dom av den 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punkt 44).
92 Domstolen fann att det skulle fastställas huruvida möjligheten att kombinera en dynamisk IP-adress med nämnda ytterligare information som internetleverantören innehade utgjorde ett hjälpmedel som rimligen kunde komma att användas för att identifiera den aktuella personen (dom av den 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punkt 45).
93 Domstolen angav att detta inte skulle ha varit fallet om identifiering av den aktuella personen var förbjuden i lag eller omöjlig att genomföra i praktiken, exempelvis på grund av att den skulle kräva orimliga resurser i form av tid, kostnader och arbetskraft, med den följden att risken för identifiering i praktiken var försumbar (dom av den 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punkt 46).
94 I förevarande fall är det ostridigt dels att den alfanumeriska kod i de uppgifter som överlämnats till Deloitte inte i sig kunde användas för att identifiera de personer som hade lämnat kommentarer, dels att Deloitte inte hade tillgång till de identifieringsuppgifter som mottogs under anmälningsfasen och som kunde användas för att koppla samman deltagarna med deras kommentarer med hjälp av den alfanumeriska koden.
95 EDPS har i det ändrade beslutet angett och bekräftat vid förhandlingen att de kompletterande uppgifter som var nödvändiga för att identifiera de personer som lämnat kommentarer bestod av den alfanumeriska koden och identifieringsdatabasen.
96 Såsom EDPS har gjort gällande, förefaller det faktum att de kompletterande uppgifter som var nödvändiga för att identifiera de personer som lämnat kommentarer under samrådsfasen inte innehades av Deloitte utan av SRB, med hänsyn till punkt 43 i domen av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), som citerats i punkt 90 ovan, inte på förhand utesluta att den information som överlämnats till Deloitte utgör personuppgifter för denna.
97 Det framgår emellertid också av domen av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), att det, för att avgöra om de uppgifter som överlämnats till Deloitte utgjorde personuppgifter, är nödvändigt att bedöma situationen ur Deloittes synvinkel för att avgöra om de uppgifter som överlämnats till nämnda företag avser ”identifierbara personer”.
98 Inledningsvis bör det erinras om att den överträdelse av artikel 15.1 d i förordning 2018/1725 som EDPS fastställt i det ändrade beslutet gällde SRB:s överföring av vissa kommentarer till Deloitte och inte enbart SRB:s innehav av dessa.
99 Vidare kan Deloittes situation jämföras med situationen för den leverantör av elektroniska medietjänster som avses i domen av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), eftersom företaget innehade uppgifter, nämligen kommentarerna till värdering 3, som inte utgjorde uppgifter om en ”identifierad fysisk person”, eftersom den alfanumeriska koden för varje svar inte direkt avslöjade identiteten på den fysiska person som hade fyllt i formuläret. SRB:s situation kan jämföras med internetleverantörens situation i detta mål, eftersom det är utrett att SRB var den enda som innehade de kompletterande uppgifter som kunde användas för att identifiera de aktieägare och borgenärer som hade fyllt i formuläret, det vill säga den alfanumeriska koden och identifieringsdatabasen.
100 Enligt punkt 44 i domen av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), som citeras i punkt 91 ovan, ankom det därför på EDPS att pröva huruvida de kommentarer som överlämnats till Deloitte utgjorde personuppgifter för detta företag.
101 EDPS har således fel i sitt påstående att det inte var nödvändigt att undersöka om enskilda kunde återidentifieras av Deloitte i den information som lämnats ut till företaget eller om en sådan återidentifiering var rimligen sannolik.
102 Det bör noteras att EDPS i det ändrade beslutet ansåg att det faktum att SRB innehade kompletterande uppgifter för att återidentifiera de personer som hade lämnat kommentarer var tillräckligt för att dra slutsatsen att den information som överlämnats till Deloitte var personuppgifter, samtidigt som den medgav att de identifieringsuppgifter som mottogs under anmälningsfasen inte hade meddelats Deloitte.
103 Det framgår således av det ändrade beslutet att EDPS endast undersökte huruvida SRB, och inte Deloitte, kunde återidentifiera de personer som hade lämnat kommentarer.
104 Det följer emellertid av punkt 45 i domen av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), som citerats i punkt 92 ovan, att det ankom på EDPS att avgöra om möjligheten att kombinera den information som hade överlämnats till Deloitte med de kompletterande uppgifter som SRB innehade utgjorde ett hjälpmedel som Deloitte rimligen kunde använda för att identifiera de personer som hade lämnat kommentarer.
105 Eftersom EDPS underlät att undersöka huruvida Deloitte hade rättsliga och praktiskt genomförbara medel för att få tillgång till de kompletterande uppgifter som var nödvändiga för att återidentifiera de personer som hade lämnat kommentarer, kunde EDPS därför inte dra slutsatsen att den information som överlämnats till Deloitte utgjorde uppgifter om en ”identifierbar fysisk person” i den mening som avses i artikel 3.1 i förordning 2018/1725.
106 Av det ovan anförda följer att talan ska bifallas såvitt avser den första grunden och att det ändrade beslutet följaktligen ska ogiltigförklaras, utan att det är nödvändigt att pröva den andra grunden.
Rättegångskostnader
107 Enligt artikel 134.1 i tribunalens rättegångsregler ska tappande part förpliktas att ersätta rättegångskostnaderna, om detta har yrkats.
108 Eftersom EDPS i huvudsak har tappat målet, ska myndigheten förpliktas att ersätta rättegångskostnaderna i enlighet med SRB:s yrkande.
Mot denna bakgrund beslutar
TRIBUNALEN (åttonde avdelningen i utökad sammansättning)
följande:
1) Europeiska datatillsynsmannens (EDPS) ändrade beslut av den 24 november 2020 som antogs till följd av Gemensamma resolutionsnämndens (SRB) begäran om omprövning av EDPS beslut av den 24 juni 2020 avseende fem klagomål från flera klaganden (ärendena 2019–947, 2019–998, 2019–999, 2019–1000 och 2019–1122) ogiltigförklaras.
2) Talan ogillas i övrigt.
3) EDPS ska ersätta rättegångskostnaderna.
Avkunnad vid offentligt sammanträde i Luxemburg den 26 april 2023.
Underskrifter