A TÖRVÉNYSZÉK ÍTÉLETE (kibővített nyolcadik tanács)
2023. április 26.(*)
„A személyes adatok védelme – Részvényesek és hitelezők valamely bank szanálásából következő kárainak megtérítésére irányuló eljárás – Az európai adatvédelmi biztos határozata, amely megállapítja, hogy az ESZT megsértette a személyes adatok kezelésével kapcsolatos kötelezettségeit – Az (EU) 2018/1725 rendelet 15. cikke (1) bekezdésének d) pontja – A személyes adatok fogalma – A 2018/1725 rendelet 3. cikkének 1. pontja – Iratbetekintési jog”
A T‑557/20. sz. ügyben,
az Egységes Szanálási Testület (ESZT) (képviselik: H. Ehlers, M. Fernandez Ruperez, A. Lapresta Bienz, meghatalmazotti minőségben, segítőik: H.‑G. Kamann, M. Braun, F. Louis és L. Hesse ügyvédek)
felperes
az európai adatvédelmi biztos (képviselik: P. Candellier, X. Lareo és T. Zerdick, meghatalmazotti minőségben)
alperes ellen,
A TÖRVÉNYSZÉK (kibővített nyolcadik tanács),
tagjai: A. Kornezov elnök, G. De Baere (előadó), D. Petrlík, Kecsmár K. és S. Kingston bírák,
hivatalvezető: I. Kurme tanácsos,
tekintettel az eljárás írásbeli szakaszára,
tekintettel a 2022. december 1‑jei tárgyalásra,
meghozta a következő
Ítéletet
1 Az EUMSZ 263. cikk alapján benyújtott keresetével az Egységes Szanálási Testület (ESZT) egyrészt az európai adatvédelmi biztos 2020. november 24‑i, az ESZT‑nek az európai adatvédelmi biztos öt, több panaszos által benyújtott panaszról (2019–947, 2019–998, 2019–999, 2019–1000 és 2019–1122 ügyek) szóló, 2020. június 24‑i határozatának felülvizsgálata iránti kérelme alapján hozott felülvizsgált határozata (a továbbiakban: felülvizsgált határozat) megsemmisítését, másrészt az európai adatvédelmi biztos 2020. június 24‑i határozata (a továbbiakban: eredeti határozat) jogellenességének megállapítását kéri.
A jogvita előzményei
2 2017. június 7‑én az ESZT ügyvezetői testülete a hitelintézeteknek és bizonyos befektetési vállalkozásoknak az Egységes Szanálási Mechanizmus keretében történő szanálására vonatkozó egységes szabályok és egységes eljárás kialakításáról, valamint az Egységes Szanálási Alap létrehozásáról és az 1093/2010/EU rendelet módosításáról szóló, 2014. július 15‑i 806/2014/EU európai parlamenti és tanácsi rendelet (HL 2014. L 225., 1. o.; helyesbítés: HL 2014. L 372., 9. o.) alapján elfogadta a Banco Popular Español, SA szanálási programjáról szóló SRB/EES/2017/08 határozatot (a továbbiakban: szanálási program).
3 Ugyanezen a napon az Európai Bizottság elfogadta a szanálási program jóváhagyásáról szóló (EU) 2017/1246 határozatot (HL 2017. L 178., 15. o.).
4 A szanálási programban az ESZT, mivel úgy ítélte meg, hogy a 806/2014 rendelet 18. cikkének (1) bekezdésében előírt feltételek teljesültek, úgy határozott, hogy a Banco Popular Españolt (a továbbiakban: Banco Popular) szanálási eljárás alá vonja. Az ESZT úgy határozott, hogy a 806/2014 rendelet 21. cikke alapján leírja és átalakítja a Banco Popular tőkeinstrumentumait, és a 806/2014 rendelet 24. cikke alapján alkalmazza a vagyonértékesítési eszközt azáltal, hogy a részvényeket egy vevőre ruházza át.
5 A Banco Popular szanálását követően, 2018. június 14‑én a Deloitte megküldte az ESZT‑nek a 806/2014 rendelet 20. cikkének (16)–(18) bekezdésében előírt, az eltérő bánásmódról szóló, annak meghatározása céljából készített értékelést, hogy a részvényesek és a hitelezők kedvezőbb bánásmódban részesültek volna‑e, ha a Banco Populart rendes fizetésképtelenségi eljárás alá vonták volna (a továbbiakban: 3. értékelés).
6 2018. augusztus 6‑án az ESZT közzétette honlapján a Banco Popularra vonatkozó szanálási intézkedések által érintett részvényeseknek és hitelezőknek fizetendő kártérítés szükségességének megítéléséről és a meghallgatáshoz való joggal kapcsolatos eljárás megindításáról szóló előzetes határozatára (SRB/EES/2018/132; a továbbiakban: előzetes határozat) vonatkozó 2018. augusztus 2‑i értesítését, valamint a 3. értékelés nem bizalmas változatát. 2018. augusztus 7‑én az ESZT 2018. augusztus 2‑i értesítéséről szóló közleményt tettek közzé az Európai Unió Hivatalos Lapjában (HL 2018. C 277. I., 1. o.).
7 Az előzetes határozatban az ESZT jelezte, hogy annak érdekében, hogy végleges határozatot hozhasson arról, hogy a 806/2014 rendelet 76. cikke (1) bekezdésének e) pontja alapján kell‑e kártérítést fizetni a Banco Popular szanálásával érintett részvényeseknek és hitelezőknek, felhívta őket arra, hogy az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) 41. cikke (2) bekezdésének a) pontja alapján jelezzék a meghallgatáshoz való joguk gyakorlására való igényüket.
A meghallgatáshoz való joggal kapcsolatos eljárásról
8 Az előzetes határozatban az ESZT jelezte, hogy a meghallgatáshoz való jogra vonatkozó eljárás két szakaszban zajlik. Az első szakaszban (a továbbiakban: nyilvántartásba vételi szakasz) az érintett részvényeseket és hitelezőket felkérték, hogy 2018. szeptember 14‑ig online űrlapon jelezzék a meghallgatáshoz való joguk gyakorlására való igényüket. Ezt követően az ESZT‑nek meg kellett vizsgálnia, hogy az igényét kinyilvánító valamennyi fél ténylegesen rendelkezik‑e érintett részvényesi vagy hitelezői jogállással. A második szakaszban (a továbbiakban: konzultációs szakasz) az érintett részvényesek és hitelezők, akiknek jogállását az ESZT ellenőrizte, benyújthatták az előzetes határozatra vonatkozó észrevételeiket, amely határozathoz csatolták a 3. értékelést.
9 A nyilvántartásba vételi szakaszban a meghallgatáshoz való jogukat gyakorolni kívánó érintett részvényeseknek és hitelezőknek be kellett nyújtaniuk az ESZT‑nek azokat az igazoló dokumentumokat, amelyek bizonyítják, hogy a szanálás időpontjában a Banco Popular egy vagy több olyan tőkeinstrumentumával rendelkeztek, amelyeket a szanálás keretében leírtak vagy átalakítottak, és átruháztak a Banco Santander, SA‑ra. A benyújtandó igazoló dokumentumok magukban foglalták a személyazonosító okmányt és e tőkeinstrumentumok valamelyikének 2017. június 6‑án fennálló tulajdonának igazolását.
10 2018. augusztus 6‑án, a nyilvántartásba vételi szakasz megnyitásának időpontjában az ESZT a meghallgatáshoz való joggal kapcsolatos eljárásra vonatkozó regisztrációs internetes oldalon és honlapján is közzétett egy, a személyes adatoknak a meghallgatáshoz való jogra vonatkozó eljárás keretében történő kezelésével kapcsolatos titoktartási nyilatkozatot (a továbbiakban: titoktartási nyilatkozat).
11 2018. október 16‑án az ESZT az internetes oldalán bejelentette, hogy 2018. november 6‑tól a jogosult részvényeseket és hitelezőket felkérik arra, hogy a konzultációs szakaszban nyújtsák be az előzetes határozattal kapcsolatos írásbeli észrevételeiket.
12 2018. november 6‑án az ESZT e‑mailben egyedi, személyes hiperhivatkozást küldött a jogosult részvényeseknek és hitelezőknek, lehetővé téve számukra, hogy az interneten hozzáférjenek egy űrlaphoz (a továbbiakban: űrlap). Az űrlap hét kérdést tartalmazott, korlátozott terjedelmű választ engedve, lehetővé téve az érintett részvényesek és hitelezők számára, hogy 2018. november 26. előtt észrevételeket tegyenek az előzetes határozattal, valamint a 3. értékelés nem bizalmas változatával kapcsolatban.
13 Az ESZT megvizsgálta az érintett részvényeseknek és hitelezőknek az előzetes határozattal kapcsolatos releváns észrevételeit. Az ESZT arra kérte a Deloitte‑ot mint független értékelőt, hogy értékelje a 3. értékelésre vonatkozó releváns észrevételeket, bocsássa rendelkezésére az értékelését tartalmazó dokumentumot, és vizsgálja meg, hogy a 3. értékelés ezen észrevételek fényében továbbra is érvényes‑e.
Az ESZT által a meghallgatáshoz való joggal kapcsolatos eljárás keretében gyűjtött adatok kezeléséről
14 A nyilvántartásba vételi szakaszban gyűjtött adatok, vagyis a résztvevők személyazonosságára, valamint a Banco Popular leírt vagy átalakított és átruházott tőkeinstrumentumainak tulajdonára vonatkozó bizonyítékok az ESZT személyi állományának korlátozott számú tagja számára voltak hozzáférhetők a résztvevők jogosultságának meghatározása érdekében.
15 Ezek az adatok nem voltak láthatók az ESZT személyi állományának a konzultációs szakaszban kapott észrevételek kezelésével megbízott tagjai számára, amelynek során ez utóbbiak kizárólag az űrlapon benyújtott egyes észrevételekhez rendelt alfanumerikus kódra való hivatkozással azonosított észrevételeket kaptak. Az alfanumerikus kód egy 33 számjegyű, egyedi egyetemes azonosítóból állt, amelyet az űrlapra adott válaszok kézhezvételének időpontjában véletlenszerűen állítottak elő.
16 Az első szakaszban az ESZT 23 822, az eljárás 2855 résztvevője által benyújtott észrevételből automatikus szűrést végzett, amely észrevételek mindegyike egyedi alfanumerikus kóddal volt ellátva. Két algoritmus 20 101 megegyező észrevételt azonosított. Az elsőként benyújtott észrevételt tekintették az eredetinek, amelyet az elemzés szakaszában megvizsgáltak, és az ezt követően kapott megegyező észrevételeket másolatként azonosították.
17 A második szakaszban, az elemzési szakaszban az ESZT megvizsgálta az észrevételeket annak érdekében, hogy biztosítsa a koherenciát relevanciájuk értékelése és kategorizálásuk, illetve meghatározott témákba való csoportosításuk során. Az ESZT így hasonló, de nem egyező észrevételeket azonosított, amelyek azonos, az interneten rendelkezésre álló forrásokon alapultak.
18 Az ESZT észrevételek elemzéséért felelős személyi állománya nem fért hozzá sem a nyilvántartásba vétel szakaszában gyűjtött adatokhoz, így ezen észrevételeket elválasztották az azokat benyújtó személyekre vonatkozó személyes adatoktól, sem pedig az adatkulcshoz vagy azon információkhoz, amelyek lehetővé tették valamely résztvevő személyazonosságának felfedését az egyes észrevételekhez rendelt egyedi alfanumerikus kódra való hivatkozással.
19 Ezen elemzési szakaszban az ESZT összehasonlította az összes benyújtott észrevételt, és azokat az űrlap általuk megválaszolt kérdései alapján rendszerezte. Az észrevételeket ezt követően a relevanciájuk alapján értékelték, és felosztották egyrészt azokra, amelyek a meghallgatáshoz való jogra vonatkozó eljárás keretébe tartoztak, mivel hatással lehettek az előzetes határozatra vagy a 3. értékelésre, másrészt pedig azokra, amelyek nem tartoztak annak körébe, mivel a Banco Popular szanálásának más vonatkozásait érintették.
20 Az eljárás keretébe tartozó észrevételt ezt követően az ESZT által előre meghatározott tizenöt téma egyikéhez rendelték. Azon témától függően, amelyhez tartoztak, az észrevételeket felosztották az ESZT által megvizsgálandó kérdésekre és a Deloitte által a 3. értékelésre vonatkozóan vizsgálandó észrevételekre. Az ESZT a megvizsgálandó észrevételek tekintetében nem különböztette meg azokat, amelyeket csak egyszer, és azokat, amelyek többször nyújtottak be.
21 Az elemzési szakaszt követően az ESZT 3730, relevanciájuk és témájuk szerint rendszerezett észrevételt azonosított.
22 A harmadik, vizsgálati szakaszban, az ESZT feldolgozta az előzetes határozattal kapcsolatos észrevételeket, és a 3. értékelésre vonatkozókat, azaz 1104 észrevételt 2019. június 17‑én egy biztonságos és az ESZT‑nek fenntartott virtuális adatszerveren keresztül továbbították a Deloitte‑nak. Az ESZT feltöltötte a Deloitte‑nak továbbítandó fájlokat a virtuális szerverre, és e fájlokhoz a Deloitte személyi állományának korlátozott számú és ellenőrzött, e projektbe közvetlenül bevont tagja részére biztosított hozzáférést.
23 A Deloitte‑nak átadott észrevételeket szűrték, kategorizálták és összesítették. Amikor korábbi észrevételek másolatait képezték, egyetlen változatot küldtek a Deloitte‑nak, így a megkettőzött egyedi észrevételeket nem lehetett megkülönböztetni egyazon témán belül, és a Deloitte‑nak nem volt lehetősége arra, hogy megtudja, hogy az eljárás egyetlen vagy több résztvevője tett‑e egy adott észrevételt.
24 A Deloitte‑nak átadott észrevételek kizárólag a konzultációs szakaszban kapott észrevételek közül valóak voltak, és alfanumerikus kóddal voltak ellátva. E kód útján egyedül az ESZT volt képes összekapcsolni az észrevételeket a nyilvántartásba vételi szakaszban kapott adatokkal. Az alfanumerikus kódot auditálási célból dolgozták ki annak érdekében, hogy utólag ellenőrizni és adott esetben bizonyítani lehessen, hogy az egyes észrevételeket feldolgozták és megfelelően figyelembe vették. A Deloitte nem rendelkezett és nem is rendelkezik hozzáféréssel a nyilvántartásba vételi szakaszban összeállított adatbázishoz.
Az európai adatvédelmi biztos előtti eljárásról
25 Az űrlapra választ adó, érintett részvényesek és hitelezők 2019. október 19‑én, 26‑án és 28‑án, valamint december 5‑én öt panaszt (2019–947, 2019–998, 2019–999, 2019–1000. és 2019–1122; a továbbiakban: öt panasz) nyújtottak be az európai adatvédelmi biztoshoz a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23‑i (EU) 2018/1725 európai parlamenti és a tanácsi rendelet (HL 2018. L 295., 39. o.) alapján.
26 Az öt panasz benyújtói (a továbbiakban: panaszosok) arra hivatkoztak, hogy az ESZT nem tájékoztatta őket arról, hogy az űrlapra adott válaszok révén gyűjtött adatokat a bizalmas kezelésre vonatkozó nyilatkozat szövegét megsértve harmadik személyeknek, azaz a Deloitte‑nak és a Banco Santandernek továbbítják. Azt állították, hogy az ESZT ezáltal megsértette a 2018/1725 rendelet 15. cikke (1) bekezdésének d) pontját, amely szerint „[Ha] az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét: […] adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen”.
27 2019. december 12‑én az európai adatvédelmi biztos tájékoztatta az ESZT‑et, hogy megkapta az öt panaszt, és felkérte, hogy nyújtsa be észrevételeit.
28 2020. június 24‑én az eljárást követően, amelynek során az ESZT különböző magyarázatokkal szolgált az európai adatvédelmi biztos kérésére, és a panaszosok észrevételeket nyújtottak be, az európai adatvédelmi biztos elfogadta az eredeti határozatot. Az európai adatvédelmi biztos úgy ítélte meg, hogy az ESZT megsértette a 2018/1725 rendelet 15. cikkét, mivel a titoktartási nyilatkozatban nem tájékoztatta a panaszosokat arról a lehetőségről, hogy személyes adataikat közölhetik a Deloitte‑tal. Következésképpen e jogsértés miatt a 2018/1725 rendelet 58. cikke (2) bekezdésének b) pontja alapján elmarasztalta az ESZT‑et.
29 2020. július 22‑én az ESZT arra kérte az európai adatvédelmi biztost, hogy az európai adatvédelmi biztos eljárási szabályzatának elfogadásáról szóló, 2020. május 15‑i európai adatvédelmi biztosi határozat (HL 2020. L 204., 49. o.) 18. cikkének (1) bekezdése alapján vizsgálja felül az eredeti határozatot. Az ESZT többek között részletes leírást adott a meghallgatáshoz való joggal kapcsolatos eljárásról, valamint a négy azonosított panaszos által a konzultációs szakaszban benyújtott észrevételek elemzéséről. Azzal érvelt, hogy a Deloitte‑nak továbbított információk nem minősültek a 2018/1725 rendelet 3. cikkének 1. pontja értelmében vett személyes adatoknak.
30 2020. augusztus 5‑én az európai adatvédelmi biztos arról tájékoztatta az ESZT‑et, hogy a szolgáltatott új információkra tekintettel úgy határozott, hogy felülvizsgálja az eredeti határozatot, és egy annak helyébe lépő határozatot fogad el.
31 2020. november 24‑én, a felülvizsgálati eljárást követően, amelynek során a panaszosok észrevételeket nyújtottak be, az ESZT pedig további információkat szolgáltatott az európai adatvédelmi biztos kérésére, az európai adatvédelmi biztos elfogadta a felülvizsgált határozatot.
32 Az európai adatvédelmi biztos úgy határozott, hogy a következőképpen felülvizsgálja az eredeti határozatot:
„(1) Az európai adatvédelmi biztos úgy véli, hogy az ESZT és a Deloitte között megosztott adatok álnevesített adatok voltak, egyrészt azért, mert a [konzultációs] szakasz észrevételei személyes adatok voltak, másrészt pedig azért, mert az ESZT megosztotta azt az alfanumerikus kódot, amely lehetővé tette a [nyilvántartásba vételi] szakasz során kapott válaszoknak a [konzultációs] szakaszbeli válaszokkal való összekapcsolását, jóllehet a résztvevők által a [nyilvántartásba vételi] szakaszban történő azonosítás érdekében szolgáltatott adatokat nem közölték a Deloitte‑tal.
(2) Az európai adatvédelmi biztos úgy véli, hogy a Deloitte a panaszosok személyes adatainak az (EU) 2018/1725 rendelet 3. cikke 13. pontja értelmében vett címzettje volt. Az a tény, hogy az ESZT titoktartási nyilatkozatában a Deloitte‑ot nem említették az ESZT mint adatkezelő által a meghallgatáshoz való jogra vonatkozó eljárás keretében gyűjtött és kezelt személyes adatok potenciális címzettjeként, a [2018/1725 rendelet] 15. cikke (1) bekezdésének d) pontjában előírt tájékoztatási kötelezettség megsértésének minősül.
(3) Az ESZT által a meghallgatáshoz való jogra vonatkozó eljárásban a személyes adatok védelméhez való jogot érintő kockázatok csökkentése érdekében bevezetett valamennyi technikai és szervezési intézkedés fényében az európai adatvédelmi biztos úgy határoz, hogy nem gyakorolja [a 2018/1725 rendelet] 58. cikkének (2) bekezdése szerinti korrekciós hatáskörét.
(4) Az európai adatvédelmi biztos mindazonáltal azt ajánlja az ESZT‑nek, hogy gondoskodjon arról, hogy a meghallgatáshoz való joggal kapcsolatos jövőbeli eljárásokban tett titoktartási nyilatkozatai kiterjedjenek a személyes adatok kezelésére mind a nyilvántartásba vételi, mind a konzultációs szakasz során, és tartalmazza az összegyűjtött információk valamennyi lehetséges címzettjét annak érdekében, hogy teljes mértékben tiszteletben tartsa az érintettek tájékoztatására vonatkozó, a [2018/1725 rendelet] 15. cikke szerinti kötelezettséget.”
A felek kérelmei
33 Az ESZT kereseti kérelmeinek kiigazítását követően azt kéri, hogy a Törvényszék:
– semmisítse meg a felülvizsgált határozatot;
– állapítsa meg az eredeti határozat jogellenességét;
– az európai adatvédelmi biztost kötelezze a költségek viselésére.
34 Az európai adatvédelmi biztos azt kéri, hogy a Törvényszék:
– utasítsa el a keresetet;
– az ESZT‑et kötelezze a költségek viselésére.
A jogkérdésről
A második kereseti kérelemről, amely arra irányul, hogy a Törvényszék „állapítsa meg az eredeti határozat jogellenességét”
35 A jelen ügyben a felek nem vitatják, hogy a felülvizsgált határozat hatályon kívül helyezte és felváltotta az eredeti határozatot.
36 Az európai adatvédelmi biztos azzal érvel, hogy emiatt az eredeti határozatra vonatkozó kereseti kérelem elfogadhatatlan.
37 Az ESZT azt állítja, hogy továbbra is érdeke fűződik az eredeti határozat elfogadásához vezető eljárási szabálytalanságok, vagyis a védelemhez való joga és az iratbetekintési joga megsértésének megállapításához annak érdekében, hogy azok ne ismétlődjenek meg a jövőbeli eljárásokban. Egy pervezető intézkedésre adott válaszában pontosította, hogy második kereseti kérelmével nem az eredeti határozat megsemmisítését kéri, mivel azt a felülvizsgált határozat ex tunc hatállyal hatályon kívül helyezte és felváltotta, hanem jogellenességének megállapítását.
38 Meg kell tehát állapítani, hogy második kereseti kérelmével az ESZT megállapítási ítélet meghozatalát, nem pedig valamely aktus megsemmisítését kéri.
39 Márpedig elegendő arra emlékeztetni, hogy az állandó ítélkezési gyakorlatból kitűnik, a Törvényszéknek az EUMSZ 263. cikkre alapozott jogszerűségi vizsgálat keretében nincsen hatásköre arra, hogy megállapítási ítéletet hozzon (lásd: 2009. február 4‑i Omya kontra Bizottság ítélet, T‑145/06, EU:T:2009:27, 23. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2018. szeptember 13‑i DenizBank kontra Tanács ítélet, T‑798/14, EU:T:2018:546, 135. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
40 Ebből következik, hogy az ESZT második kereseti kérelmét, amely arra irányul, hogy a Törvényszék „állapítsa meg az eredeti határozat jogellenességét”, el kell utasítani, mivel a Törvényszék nem rendelkezik hatáskörrel annak elbírálására.
A felülvizsgált határozat megsemmisítésére irányuló első kereseti kérelem elfogadhatóságáról
41 A kereset elfogadhatósága az eljárásgátló okok körébe tartozik, amelyekre az uniós bíróság bármikor hivatalból hivatkozhat (lásd: 2022. március 16‑i MEKH és FGSZ kontra ACER ítélet, T‑684/19 és T‑704/19, EU:T:2022:138, 29. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 1993. március 24‑i CIRFS és társai kontra Bizottság ítélet, C‑313/90, EU:C:1993:111, 23. pont). A Törvényszék pervezető intézkedés keretében többek között arról kérdezte a feleket, hogy a felülvizsgált határozat az EUMSZ 263. cikk alapján megtámadható jogi aktusnak minősül‑e.
42 E kérdésre válaszul az európai adatvédelmi biztos megjegyzi, hogy az a tény, hogy a felülvizsgált határozat a végleges álláspontját, valamint jogsértés megállapítását tartalmazza, nem elegendő ahhoz, hogy megtámadható jogi aktusnak minősüljön. Szükséges, hogy ez az állásfoglalás az ESZT jogi helyzetének megváltozásával járjon. Mivel az európai adatvédelmi biztos a felülvizsgált határozatban nem élt a 2018/1725 rendelet 58. cikke szerinti korrekciós hatáskörével, úgy tekinthető, hogy e határozat nem vált ki joghatásokat az EUMSZ 263. cikk szerinti bírósági felülvizsgálat szempontjából.
43 Az ESZT az ugyanezen kérdésre adott válaszában arra hivatkozik, hogy a felülvizsgált határozat olyan joghatásokat vált ki, amelyek érinthetik az érdekeit.
44 Az ítélkezési gyakorlatból kitűnik, hogy az EUMSZ 263. cikk negyedik bekezdése értelmében valamely természetes vagy jogi személy csak olyan kötelező joghatásokat kiváltó jogi aktusokat támadhat meg, amelyek e személy érdekeit érinthetik, jelentősen módosítva annak jogi helyzetét. Így főszabály szerint azok az intézkedések minősülnek megtámadható jogi aktusnak, amelyek a közigazgatási eljárás végén véglegesen meghatározzák valamely uniós intézmény, szerv vagy hivatal álláspontját, valamint amelyek a felperes érdekeit érintő kötelező joghatások kiváltására irányulnak, kivéve az olyan közbenső intézkedéseket, amelyek a végleges határozat előkészítését szolgálják, és nem eredményeznek ilyen joghatásokat (2020. június 25‑i Satcen kontra KF ítélet, C‑14/19 P, EU:C:2020:492, 69. és 70. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2021. május 6‑i ABLV Bank és társai kontra EKB ítélet, C‑551/19 P és C‑552/19 P, EU:C:2021:369, 39. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
45 Annak megállapításához, hogy a megtámadott jogi aktus kivált‑e ilyen hatásokat, az aktus lényegét kell figyelembe venni, és e hatásokat olyan objektív kritériumok alapján kell megítélni, mint az említett aktus tartalma, adott esetben figyelembe véve az utóbbi aktus elfogadásának körülményeit, valamint az azt elfogadó uniós intézmény, szerv vagy hivatal jogkörét (lásd: 2021. április 22‑i thyssenkrupp Electrical Steel és thyssenkrupp Electrical Steel Ugo kontra Bizottság ítélet, C‑572/18 P, EU:C:2021:317, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2021. május 6–i ABLV Bank és társai kontra EKB ítélet, C‑551/19 P és C‑552/19 P, EU:C:2021:369, 41. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2021. október 6–i Tognoli és társai kontra Parlament ítélet, C‑431/20 P, EU:C:2021:807, 34. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
46 Először is emlékeztetni kell arra, hogy a felülvizsgált határozatot az európai adatvédelmi biztos az ESZT‑nek az eredeti határozat felülvizsgálatára irányuló kérelmét követően fogadta el. A kontradiktórius közigazgatási eljárást követően elfogadott felülvizsgált határozat hatályon kívül helyezi és felváltja az eredeti határozatot, és olyan határozatnak minősül, amely véglegesen rögzíti az európai adatvédelmi biztos álláspontját az öt panasszal kapcsolatban.
47 Márpedig a 2018/1725 rendeletnek a hatékony bírósági jogorvoslathoz való jogról szóló 64. cikkének (2) bekezdése előírja, hogy az európai adatvédelmi biztos határozatai ellen az Európai Unió Bírósága előtt jogorvoslattal lehet élni.
48 Az európai adatvédelmi biztos eljárási szabályzatának 18. cikke, amely alapján a felülvizsgált határozatot elfogadták, a (3) bekezdésében különösen a következőképpen rendelkezik:
„Ha valamely panaszra vonatkozó határozatának felülvizsgálatára irányuló kérelmet követően az [európai adatvédelmi biztos] új, felülvizsgált határozatot bocsát ki, az [európai adatvédelmi biztos] tájékoztatja a panaszost és az érintett intézményt arról, hogy ezen új határozat ellen az [EUMSZ 263. cikkel] összhangban jogorvoslati kérelem nyújtható be az Európai Unió Bíróságához.”
49 E tekintetben az ESZT‑nek megküldött, a felülvizsgált határozatot kísérő levél a következőket tartalmazza:
„Kérjük, vegye figyelembe, hogy ez a határozat hatályon kívül helyezi és felváltja a 2020. június 24‑én elfogadott határozatot. E határozat ellen a jelen határozat elfogadásától számított két hónapon belül és az [EUMSZ 263. cikkben] meghatározott feltételek mellett megsemmisítés iránti keresetet nyújthat be az Európai Unió Bíróságához.”
50 Másodszor, a felülvizsgált határozat lényegét illetően emlékeztetni kell egyrészt arra, hogy az európai adatvédelmi biztos megállapította, hogy az ESZT megsértette a 2018/1725 rendelet 15. cikke (1) bekezdésének d) pontjában előírt tájékoztatási kötelezettséget, másrészt pedig lényegében azt javasolta az európai adatvédelmi biztosnak, hogy jövőbeli titoktartási nyilatkozataiban biztosítsa, hogy ne ismételje meg az ilyen jogsértést.
51 Egyrészt meg kell állapítani, hogy a 2018/1725 rendelet 65. cikke alapján az ilyen jogsértés megalapozhatja az ESZT‑nek mint az érintett adatok kezelőjének a felelősségét, feltéve hogy a Szerződésekben előírt egyéb feltételek teljesülnek.
52 Másrészt a 2018/1725 rendelet 66. cikkének (1) bekezdése alapján az európai adatvédelmi biztos annak eldöntésekor, hogy ki kell‑e szabni közigazgatási bírságot valamely uniós intézményre vagy szervre, valamint a bírság összegének meghatározása során figyelembe veszi többek között az ezen intézmény vagy szerv által korábban elkövetett hasonló jogsértéseket. Ennélfogva, ha az ESZT nem követné az európai adatvédelmi biztos arra vonatkozó ajánlását, hogy a jövőben módosítsa titoktartási nyilatkozatait a meghallgatáshoz való joggal kapcsolatos eljárásokban, megállapítható lenne a 2018/1725 rendelet 15. cikke (1) bekezdése d) pontjának az ESZT általi hasonló megsértése, és ez bírság kiszabásához vezethetne.
53 Ebből következik, hogy annak a felülvizsgált határozatban való megállapítása, hogy az ESZT megsértette a 2018/1725 rendelet 15. cikke (1) bekezdésének d) pontját, kötelező joghatásokat vált ki, még akkor is, ha az európai adatvédelmi biztos jelezte, hogy lemond a 2018/1725 rendelet 58. cikkének (2) bekezdése szerinti korrekciós intézkedések elfogadására vonatkozó hatáskörének gyakorlásáról.
54 A fentiekre tekintettel a felülvizsgált határozat olyan uniós jogi aktus, amely a jogi helyzetét jelentősen módosítva érintheti a címzettje érdekeit. Ennek megfelelően az EUMSZ 263. cikk értelmében vett megtámadható aktusnak minősül.
55 Következésképpen meg kell állapítani, hogy a felülvizsgált határozat megsemmisítésére irányuló első kereseti kérelem elfogadható.
Az ügy érdeméről
56 A kereset alátámasztása érdekében a felperes két jogalapot hoz fel. Az első jogalap a 2018/1725 rendelet 3. cikke 1. pontjának megsértésére vonatkozik, amennyiben a Deloitte‑nak továbbított információk nem minősültek személyes adatoknak. A második jogalap a Charta 41. cikkében biztosított megfelelő ügyintézéshez való jog megsértésén alapul.
57 Az első jogalappal az ESZT arra hivatkozik, hogy az európai adatvédelmi biztos megsértette a 2018/1725 rendelet 3. cikkének 1. pontját, amikor a felülvizsgált határozatban úgy ítélte meg, hogy a Deloitte‑nak továbbított információk a panaszosok személyes adatainak minősülnek.
58 A 2018/1725 rendelet 3. cikkének 1. pontja a személyes adatot úgy határozza meg, mint amely az „azonosított vagy azonosítható természetes személyre […] vonatkozó bármely információ [és rögzíti, hogy] azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”.
59 E meghatározásból kitűnik, hogy valamely információ személyes adatnak minősül többek között akkor, ha két együttes feltétel teljesül, azaz egyrészt ezen információ valamely természetes személyre „vonatkozik”, másrészt pedig e személy „azonosított vagy azonosítható”.
A 2018/1725 rendelet 3. cikkének 1. pontjában előírt azon feltételről, amely szerint az információ természetes személyre „vonatkozik”
60 Az ESZT arra hivatkozik, hogy a konzultációs szakaszban kapott és a Deloitte‑nak továbbított észrevételek nem a 2018/1725 rendelet 3. cikkének 1. pontja értelmében vett meghatározott személyekre vonatkoztak. Úgy véli, hogy a 2017. december 20‑i Nowak ítéletben (C‑434/16, EU:C:2017:994) követett érvelés nem alkalmazható a panaszosok észrevételeire. Azt állítja, hogy a panaszosok észrevételeiben szereplő információk olyan ténybeli és jogi információk voltak, amelyek függetlenek a személyektől vagy a panaszosok személyes tulajdonságaitól, és nem függtek össze a magánéletükkel. Úgy véli, hogy a meghallgatáshoz való jogra vonatkozó eljárás célja az előzetes határozatra és a 3. értékelésre vonatkozó, nagyszámú érdekelt féltől származó ténybeli és jogi érvek értékelése volt, akik személyisége és azonossága nem volt releváns észrevételeik értékelése szempontjából.
61 Az európai adatvédelmi biztos azzal érvel, hogy az érintett részvényesek és hitelezők észrevételeinek tartalma rájuk „vonatkozó” információ, mivel a válaszaik személyes álláspontjukat tartalmazták és tükrözték, még akkor is, ha nyilvánosan hozzáférhető információkon alapultak. A panaszosok és más résztvevők által az űrlapon adott válaszok személyes adatoknak minősülnek, függetlenül attól, hogy eredeti vagy másokkal osztott álláspont kifejezéséről van‑e szó, és függetlenül attól, hogy az ESZT ezeket olyan információknak tekinti‑e, amelyek nem állnak kapcsolatban az érintett részvényeseknek és hitelezőknek a magánélet tiszteletben tartása tekintetében fennálló konkrét jogaival.
62 Az európai adatvédelmi biztos úgy véli továbbá, hogy az észrevételek hatásuk miatt minősülnek személyes adatoknak. Az ezen észrevételekre vonatkozó, a 3. értékelés érvényességének és az előzetes határozat jogszerűségének ellenőrzésére irányuló vizsgálat hatással lehetett a résztvevők pénzügyi kompenzációval kapcsolatos érdekeire és jogaira. Végül arra hivatkozik, hogy az észrevételek összegyűjtésének célja az volt, hogy valamennyi fél számára eljárási jogokat biztosítsanak annak érdekében, hogy egyéni véleményeket gyűjtsenek.
63 A felülvizsgált határozatban az európai adatvédelmi biztos jelezte, hogy a konzultációs szakaszban kapott válaszok a panaszosok személyes adatainak minősülnek, mivel személyes álláspontjukat tartalmazzák, és így rájuk vonatkozó információknak minősülnek, még akkor is, ha a nyilvánosság számára hozzáférhető információkra támaszkodtak álláspontjuk kifejtése érdekében. Úgy ítélte meg, hogy az a tény, hogy a panaszosok a többi résztvevőéhez hasonló, de nem azonos álláspontot képviseltek, nem jelenti azt, hogy válaszuk ne a saját véleményüket tükrözné. Az európai adatvédelmi biztos ezért úgy ítélte meg, hogy a panaszosok és más résztvevők által a szabad szövegmezőkben adott válaszokat személyes adatnak kell tekinteni, függetlenül attól, hogy eredeti és egyedi, vagy másokkal osztott álláspontról, vagy nyilvánosan hozzáférhető információkon alapuló vagy azokból merített véleményről van szó. Hozzátette, hogy e következtetésnek nem mond ellent a 2017. december 20‑i Nowak ítélet (C‑434/16, EU:C:2017:994), amelyben a Bíróság nem tett különbséget a teljes egészében a válaszadók által kidolgozott válaszok és az egyéb ismeretforrásokból származó válaszok között.
64 Meg kell vizsgálni, hogy az európai adatvédelmi biztos jogosan vélhette‑e úgy, hogy a Deloitte‑nak továbbított információk a 2018/1725 rendelet 3. cikkének 1. pontja értelmében vett természetes személyre „vonatkoznak”.
65 Előzetesen meg kell állapítani, hogy a felülvizsgált határozatban az európai adatvédelmi biztos személyes adatoknak minősítette az érintett részvényesek és hitelezők által a konzultációs szakaszban megfogalmazott valamennyi észrevételt, és nem korlátozta értékelését kizárólag a Deloitte‑nak megküldött információkra.
66 Márpedig, mivel a 2018/1725 rendelet 15. cikke (1) bekezdése d) pontjának a felülvizsgált határozatban megállapított megsértése kizárólag arra a tényre vonatkozott, hogy az ESZT a titoktartási nyilatkozatban nem említette, hogy a Deloitte bizonyos adatok potenciális címzettje, annak vizsgálatára kell szorítkozni, hogy a Deloitte részére továbbított információk a 2018/1725 rendelet 3. cikkének 1. pontja értelmében vett személyes adatok voltak‑e.
67 A 2018/1725 rendelet 3. cikkének 13. pontjában szereplő meghatározás szerint a „címzett” „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél‑e”.
68 A „bármely információ” kifejezésnek a „személyes adat” fogalma 2018/1725 irányelv 3. cikke 1. pontjában található meghatározásának keretében történő alkalmazása az uniós jogalkotó azon célját tükrözi, hogy tág jelentést adjon e fogalomnak, amely nem korlátozódik az érzékeny vagy magánjellegű információkra, hanem potenciálisan magában foglal minden típusú információt, függetlenül attól, hogy azok objektív vagy például vélemény vagy értékelés formájában szubjektív jellegűek, feltéve hogy az adott személyre „vonatkoznak” (lásd analógia útján: 2017. december 20‑i Nowak ítélet, C‑434/16, EU:C:2017:994, 34. pont).
69 Ez utóbbi feltételt illetően a Bíróság kimondta, hogy az akkor teljesül, ha az információ tartalmánál, céljánál vagy hatásánál fogva egy meghatározott személyhez kapcsolódik (2017. december 20‑i Nowak ítélet, C‑434/16, EU:C:2017:994, 35. pont).
70 Márpedig a felülvizsgált határozatban az európai adatvédelmi biztos nem vizsgálta a Deloitte‑nak továbbított információknak sem a tartalmát, sem a célját, sem a hatását.
71 Annak jelzésére szorítkozott, hogy a panaszosok által a konzultációs szakaszban benyújtott észrevételek tükrözik a véleményüket vagy az álláspontjukat, és pusztán ezen az alapon arra a következtetésre jutott, hogy azok rájuk vonatkozó információknak minősülnek, ami elegendő ahhoz, hogy személyes adatoknak lehessen őket minősíteni.
72 A tárgyaláson az európai adatvédelmi biztos megerősítette, hogy véleménye szerint minden személyes vélemény személyes adatnak minősül. Azt is elismerte, hogy nem vizsgálta meg a panaszosok által a konzultációs szakaszban benyújtott észrevételek tartalmát.
73 Természetesen nem zárható ki, hogy a személyes szempontok vagy a vélemények személyes adatoknak minősüljenek. Mindazonáltal a 2017. december 20‑i Nowak ítéletnek (C‑434/16, EU:C:2017:994) a fenti 68. és 69. pontban hivatkozott 34. és 35. pontjából kitűnik, hogy az ilyen következtetés nem alapítható a fenti 71. és 72. pontban leírthoz hasonló vélelemre, hanem annak vizsgálatára kell támaszkodnia, hogy tartalma, célja vagy hatása miatt valamely álláspont kapcsolódik‑e egy meghatározott személyhez.
74 Ebből következik, hogy az európai adatvédelmi biztos, mivel nem végzett ilyen vizsgálatot, nem juthatott arra a következtetésre, hogy a Deloitte‑nak továbbított információk a 2018/1725 rendelet 3. cikkének 1. pontja értelmében vett, természetes személyre „vonatkozó” információknak minősülnek.
75 A Törvényszék ezt követően megvizsgálja az európai adatvédelmi biztos arra vonatkozó értékelését, hogy a Deloitte‑nak megküldött információk egy „azonosított vagy azonosítható” természetes személyre vonatkoztak‑e.
A 2018/1725 rendelet 3. cikkének 1. pontjában előírt azon feltételről, amely szerint az információ „azonosított vagy azonosítható” természetes személyre vonatkozik
76 Az ESZT arra hivatkozik, hogy az európai adatvédelmi biztos álláspontjával ellentétben az alfanumerikus kód Deloitte‑tal való közlése nem vezetett az adatok „álnevesítéséhez”. Azok anonimek maradtak, mivel az ESZT nem osztotta meg a Deloitte‑tal azokat az információkat, amelyek lehetővé tették volna az észrevételek szerzőinek újbóli azonosítását.
77 Az ESZT azt állítja, hogy az adatokat a harmadik fél számára anonimizálják még akkor is, ha az újbóli azonosítást lehetővé tevő információt nem távolítják el visszavonhatatlanul, és azt az eredeti adatkezelő megőrzi, amennyiben az a formátum, amelyben az adatokat e harmadik féllel közlik, már nem teszi lehetővé az észrevételt előterjesztő személy azonosítását, vagy azt nem teszi észszerűen valószínűvé. Az ESZT arra hivatkozik, hogy ellentétben azzal, amit az európai adatvédelmi biztos a felülvizsgált határozatban megállapított, a 2018/1725 rendelet és a Bíróság ítélkezési gyakorlata megköveteli az újbóli azonosítás kockázatának értékelését.
78 Közelebbről, az ESZT azt állítja, hogy a jelen ügyben nem teljesülnek a Bíróság ítélkezési gyakorlatában az újbóli azonosítás kockázatának fennállására vonatkozóan támasztott feltételek, amennyiben az azonosítást lehetővé tevő valamennyi információ nem egyetlen személy, hanem több fél birtokában van. Egyrészt az egyes észrevételekhez rendelt alfanumerikus kód nem teszi lehetővé a Deloitte számára az észrevételeket benyújtó személyek újbóli azonosítását. A 2018/1725 rendelet 3. cikkének 6. pontjában említett további információk a dekódolást lehetővé tevő adatbázisból állnak, amelyhez kizárólag az ESZT férhet hozzá. Másrészt, ami az információk kombinációjának észszerű valószínűségére vonatkozó kritériumot illeti, a Deloitte‑nak nem volt és továbbra sincs jogszerű eszköze arra, hogy hozzáférjen a további és az azonosító információkhoz.
79 Az európai adatvédelmi biztos azt állítja, hogy az, hogy a Deloitte nem fért hozzá az ESZT birtokában lévő, az újbóli azonosítást lehetővé tévő információkhoz, nem jár azzal a következménnyel, hogy a Deloitte‑nak továbbított „álnevesített” adatok anonim adatokká váltak. Nem szükséges megállapítani, hogy a Deloitte‑nak átadott információk szerzőit ez utóbbi újra azonosíthatta‑e, vagy ez az újbóli azonosítás észszerűen valószínű volt‑e. Az „álnevesített” adatok még akkor is ilyen jellegűek maradnának, ha azokat olyan harmadik félnek továbbítják, aki nem rendelkezik a további információkkal.
80 Az európai adatvédelmi biztos azzal érvel, hogy a 2018/1725 rendelet 3. cikkének 1. pontjában a „közvetett” kifejezés használata azt jelenti, hogy ahhoz, hogy valamely információ személyes adatnak minősüljön, nem szükséges, hogy önmagában lehetővé tegye az érintett személy azonosítását. Ezenkívül azon eszközöket illetően, amelyeket mind az adatkezelő, mind bármely más személy észszerűen felhasználhat, nem követelmény, hogy az érintett azonosítását lehetővé tevő valamennyi információ egyetlen személy kezében legyen.
81 A felülvizsgált határozatban az európai adatvédelmi biztos úgy ítélte meg, hogy a Deloitte‑nak továbbított információk „álnevesített” adatok voltak. E tekintetben rámutatott, hogy az „álnevesített” adatok és az anonim adatok közötti különbség abban áll, hogy anonim adatok esetében nem állnak rendelkezésre olyan „további információk”, amelyeket fel lehetett volna használni ahhoz, hogy az adatokat egy konkrét érintetthez rendeljék, míg az „álnevesített” adatok esetében léteznek ilyen további információk. Ezért annak értékeléséhez, hogy az adatok anonimek vagy „álnevesítettek” voltak‑e, meg kell vizsgálni, hogy léteznek‑e olyan „további információk”, amelyek felhasználhatók az adatok konkrét érintettekhez való hozzárendeléséhez.
82 Az európai adatvédelmi biztos arra hivatkozott, hogy az ESZT nemcsak az érintett részvényesek és hitelezők bizonyos észrevételeit továbbította a Deloitte‑nak, hanem a megfelelő alfanumerikus kódot is, és a Deloitte nem fért hozzá a nyilvántartásba vételi szakaszban adott válaszokhoz. Jelezte, hogy – amint azt az ESZT kifejtette – „a Deloitte számára lehetetlen volt visszafejteni az e kódot használó bármely fél kilétét a jogosult felek által a nyilvántartásba vételi szakaszban szolgáltatott konkrét adatokra hivatkozva (amelyek továbbra is az ESZT birtokában voltak)”. Az európai adatvédelmi biztos azonban úgy ítélte meg, hogy a nyilvántartásba vételi szakaszban szolgáltatott adatok az egyedi azonosítóval, azaz az egyes jogosult résztvevőkhöz rendelt alfanumerikus kóddal együtt tökéletes példái a 2018/1725 rendelet 3. cikkének 6. pontja értelmében vett „további információknak”, mivel azokat az ESZT felhasználhatta arra, hogy az adatokat egy konkrét érintetthez rendelje.
83 Az európai adatvédelmi biztos kifejtette, hogy a 2018/1725 rendelet nem tesz különbséget az „álnevesített” adatokat őrzők és a további információkkal rendelkezők között, és hogy az a tény, hogy különböző szervezetekről van szó, nem tette anonimmá az „álnevesített” adatokat. Hozzátette, hogy az a tény, hogy a Deloitte önmagában nem volt abban a helyzetben, hogy a nyilvántartásba vételi szakaszban kapott adatokhoz hozzárendelje az észrevételeket, nem zárja ki, hogy az általa kapott adatok „álnevesítettek” legyenek. Az európai adatvédelmi biztos véleménye szerint az ESZT által a Deloitte‑tal megosztott adatok „álnevesített” adatok voltak, egyszerre azért, mert a konzultációs szakaszban kapott észrevételek személyes adatok voltak, és mivel az ESZT megosztotta az alfanumerikus kódot, amely lehetővé tette a nyilvántartásba vételi szakaszban adott válaszoknak a konzultációs szakaszban adott válaszokkal való összekapcsolását, jóllehet a résztvevők által a nyilvántartásba vételi szakaszban azonosításuk érdekében szolgáltatott adatokat nem közölték a Deloitte‑tal. Ebből azt a következtetést vonta le, hogy a Deloitte‑nak továbbított információk „álnevesített” adatok, következésképpen a 2018/1725 rendelet 3. cikkének 1. pontja értelmében vett személyes adatok.
84 Előzetesen meg kell állapítani, hogy az ESZT által a meghallgatáshoz való jogra vonatkozó eljárás keretében gyűjtött adatok kezelése tekintetében bevezetett, a fenti 14–24. pontban ismertetett mechanizmusokra tekintettel a Deloitte‑nak továbbított információk nem „azonosított” személyekre vonatkoztak.
85 Meg kell tehát vizsgálni, hogy az európai adatvédelmi biztos jogosan vélhette‑e úgy, hogy a Deloitte‑nak továbbított információk a 2018/1725 rendelet 3. cikkének 1. pontja értelmében vett „azonosítható” természetes személyre vonatkoztak‑e.
86 E rendelkezés szerint „azonosítható természetes személy”, aki közvetlen vagy közvetett módon azonosítható.
87 A 2018/1725 rendelet (16) preambulumbekezdése a következőket írja elő:
„[…] Az álnevesített személyes adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni. Valamely természetes személy azonosíthatóságának meghatározásakor minden olyan módszert figyelembe kell venni – ideértve például a megjelölést –, amelyről észszerűen feltételezhető, hogy az adatkezelő vagy más személy a természetes személy közvetlen vagy közvetett azonosítására felhasználhatja. Annak meghatározásakor, hogy mely eszközökről feltételezhető észszerűen, hogy egy adott természetes személy azonosítására fogják felhasználni, az összes objektív tényezőt figyelembe kell venni, így például az azonosítás költségeit és időigényét, számításba véve az adatkezeléskor rendelkezésre álló technológiákat, és a technológia fejlődését. […]”
88 Meg kell állapítani, hogy a 2016. október 19‑i Breyer ítéletben (C‑582/14, EU:C:2016:779) a Bíróság a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) 2. cikkének a) pontja szerinti személyes adat fogalmát értelmezte, amely a 2018/1725 rendelet 3. cikkének 1. pontjával egyenértékű rendelkezést tartalmaz.
89 Ebben az ügyben az a kérdés merült fel, hogy egy dinamikus internetprotokoll‑cím (a továbbiakban: IP‑cím) személyes adatnak minősül‑e az azt regisztráló elektronikus médiaszolgáltató tekintetében. A Bíróság úgy ítélte meg, hogy meg kell vizsgálni, hogy ez az IP‑cím „azonosítható természetes személyre” vonatkozó információnak minősíthető‑e, figyelembe véve egyrészt azt a tényt, hogy önmagában nem tette lehetővé e szolgáltató számára az internetes oldalt megtekintő felhasználó azonosítását, másrészt pedig azt a tényt, hogy a szükséges további információk, amelyek ezen IP‑címmel kombinálva lehetővé teszik az említett felhasználó azonosítását, az internet‑hozzáférést nyújtó szolgáltató birtokában voltak.
90 Amennyiben a 2018/1725 rendelet (16) preambulumbekezdése minden olyan módszerre hivatkozik, amelyet az adatkezelő vagy „más személy” valószínűleg felhasználna az említett személy azonosítására, annak szövege azt sugallja, hogy annak érdekében, hogy valamely adatot a 2018/1725 rendelet 3. cikkének 1. pontja szerinti „személyes adatnak” minősítsenek, nem követelmény, hogy az érintett személy azonosítását lehetővé tevő minden adat egy személy kezében legyen (lásd analógia útján: 2016. október 19‑i Breyer ítélet, C‑582/14, EU:C:2016:779, 43. pont).
91 A Bíróság ugyanakkor hozzátette, hogy a tény, hogy az internetes honlap felhasználója azonosításához szükséges további információkkal nem az elektronikus médiaszolgáltató, hanem e felhasználó internet‑hozzáférést nyújtó szolgáltatója rendelkezett, nem zárta ki, hogy az elektronikus médiaszolgáltató által rögzített dinamikus IP‑címek személyes adatoknak minősüljenek ez utóbbi számára (2016. október 19‑i Breyer ítélet, C‑582/14, EU:C:2016:779, 44. pont).
92 A Bíróság azonban úgy ítélte meg, hogy meg kellett vizsgálni, hogy a dinamikus IP‑cím és az említett, ezen internet‑hozzáférést nyújtó szolgáltató által birtokolt további információk együttes felhasználásának lehetősége olyan módszer volt‑e, amelyet valószínűleg felhasználnak az érintett személy azonosítására (2016. október 19‑i Breyer ítélet, C‑582/14, EU:C:2016:779, 45. pont).
93 A Bíróság rámutatott arra, hogy nem ez az eset állt fenn, ha az érintett személy azonosítását törvény tiltotta, vagy a gyakorlatban nem volt megvalósítható, például azon egyszerű ok miatt, hogy például aránytalan idő‑, költség‑ vagy munkaráfordítás lett volna hozzá szükséges, ily módon valójában jelentéktelennek tűnt az azonosítás veszélye (2016. október 19‑i Breyer ítélet, C‑582/14, EU:C:2016:779, 46. pont).
94 A jelen ügyben nem vitatott egyrészt, hogy a Deloitte‑nak megküldött információkon szereplő alfanumerikus kód önmagában nem tette lehetővé az észrevételek szerzőinek azonosítását, másrészt pedig az, hogy a Deloitte nem fért hozzá a nyilvántartásba vételi szakaszban kapott azon azonosító adatokhoz, amelyek lehetővé tették volna, hogy a résztvevőket összekapcsolják az észrevételeikkel az alfanumerikus kódnak köszönhetően.
95 Az európai adatvédelmi biztos a felülvizsgált határozatban jelezte és a tárgyaláson megerősítette, hogy az észrevételek szerzőinek azonosításához szükséges további információk az alfanumerikus kódból és az azonosító adatbázisból álltak.
96 Kétségtelen, hogy – amint azt az európai adatvédelmi biztos állítja – a 2016. október 19‑i Breyer ítélet (C‑582/14, EU:C:2016:779) fenti 90. pontban hivatkozott 43. pontjára tekintettel az a tény, hogy a konzultációs szakaszban kapott észrevételek szerzőinek azonosításához szükséges további információk nem a Deloitte, hanem az ESZT birtokában voltak, nem tűnik olyan jellegűnek, amely eleve kizárta volna, hogy a Deloitte‑nak továbbított információk a Deloitte számára személyes adatoknak minősüljenek.
97 Mindazonáltal a 2016. október 19‑i Breyer ítéletből (C‑582/14, EU:C:2016:779) az is kitűnik, hogy annak meghatározásához, hogy a Deloitte‑nak továbbított információk személyes adatoknak minősülnek‑e, a Deloitte szemszögéből kell meghatározni, hogy a részére továbbított információk „azonosítható személyekre” vonatkoztak‑e.
98 Emlékeztetni kell ugyanis először is arra, hogy a 2018/1725 rendelet 15. cikke (1) bekezdése d) pontjának az európai adatvédelmi biztos által a felülvizsgált határozatban megállapított megsértése arra vonatkozott, hogy az ESZT bizonyos észrevételeket továbbított a Deloitte‑nak, és nem csupán arra, hogy azok az ESZT birtokában voltak.
99 Másodszor, egyrészt a Deloitte helyzete összehasonlítható a 2016. október 19‑i Breyer ítéletben (C‑582/14, EU:C:2016:779) említett elektronikus médiaszolgáltató helyzetével, mivel olyan információkkal, vagyis a 3. értékeléssel kapcsolatos észrevételekkel rendelkezett, amelyek nem minősültek „azonosított természetes személyre” vonatkozó információknak, amennyiben az egyes válaszokon szereplő alfanumerikus kód nem tette lehetővé az űrlapot kitöltő természetes személy kilétének közvetlen felfedését. Másrészt az ESZT helyzete ebben az ügyben összehasonlítható az internet‑hozzáférést nyújtó szolgáltató helyzetével, mivel nem vitatott, hogy egyedül az ő birtokában voltak azon további információk, amelyek lehetővé tették az űrlapot kitöltő érintett részvényesek és hitelezők azonosítását, vagyis az alfanumerikus kód és az azonosító adatbázis.
100 Ennélfogva a 2016. október 19‑i Breyer ítélet (C‑582/14, EU:C:2016:779) fenti 91. pontban hivatkozott 44. pontja alapján az európai adatvédelmi biztosnak meg kellett volna vizsgálnia, hogy a Deloitte‑nak továbbított észrevételek a Deloitte tekintetében személyes adatoknak minősülnek‑e.
101 Így az európai adatvédelmi biztos tévesen állítja, hogy nem volt szükséges megvizsgálni, hogy a Deloitte‑nak átadott információk szerzőit ez utóbbi újra azonosíthatja‑e, vagy hogy ez az újbóli azonosítás észszerűen lehetséges volt‑e.
102 Meg kell állapítani, hogy a felülvizsgált határozatban az európai adatvédelmi biztos úgy ítélte meg, hogy az, hogy az ESZT rendelkezik az észrevételek szerzőinek újbóli azonosítását lehetővé tevő további információkkal, elegendő annak megállapításához, hogy a Deloitte‑nak továbbított információk személyes adatoknak minősültek, elismerve ugyanakkor, hogy a nyilvántartásba vételi szakaszban kapott azonosító adatokat nem közölték a Deloitte‑tal.
103 Így a felülvizsgált határozatból kitűnik, hogy az európai adatvédelmi biztos annak lehetőségének vizsgálatára szorítkozott, hogy az ESZT – nem pedig a Deloitte – szemszögéből újra azonosítsák az észrevételeket tevőket.
104 Márpedig a 2016. október 19‑i Breyer ítélet (C‑582/14, EU:C:2016:779) fenti 92. pontban hivatkozott 45. pontjából kitűnik, hogy az európai adatvédelmi biztos feladata annak meghatározása volt, hogy a Deloitte‑nak átadott információknak az ESZT birtokában lévő további információkkal való kombinálásának lehetősége olyan eszköznek minősült‑e, amelyet a Deloitte észszerűen felhasználhatott az észrevételek szerzőinek azonosítására.
105 Következésképpen, mivel az európai adatvédelmi biztos nem vizsgálta meg, hogy a Deloitte rendelkezett‑e olyan jogszerű és a gyakorlatban megvalósítható eszközökkel, amelyek lehetővé tették volna számára, hogy hozzáférjen az észrevételeket előterjesztők újbóli azonosításához szükséges további információkhoz, az európai adatvédelmi biztos nem juthatott arra a következtetésre, hogy a Deloitte‑nak továbbított információk a 2018/1725 rendelet 3. cikkének 1. pontja értelmében vett „azonosítható természetes személyre” vonatkozó információknak minősültek.
106 A fentiek összességéből következik, hogy az első jogalapnak helyt kell adni, és ennélfogva a felülvizsgált határozatot meg kell semmisíteni, anélkül hogy a második jogalapot vizsgálni kellene.
A költségekről
107 A Törvényszék eljárási szabályzata 134. cikkének (1) bekezdése alapján a Törvényszék a pervesztes felet kötelezi a költségek viselésére, ha a pernyertes fél ezt kérte.
108 Mivel az európai adatvédelmi biztos kérelmei alapvető része tekintetében pervesztes lett, az ESZT ilyen irányú kérelmének megfelelően kötelezni kell a költségek viselésére.
A fenti indokok alapján
A TÖRVÉNYSZÉK (kibővített nyolcadik tanács)
a következőképpen határozott:
1) A Törvényszék megsemmisíti az európai adatvédelmi biztos 2020. november 24‑i, az ESZT‑nek az európai adatvédelmi biztos öt, több panaszos által benyújtott panaszról (2019–947, 2019–998, 2019–999, 2019–1000 és 2019–1122 ügyek) szóló, 2020. június 24‑i határozatának felülvizsgálata iránti kérelme alapján hozott felülvizsgált határozatát.
2) A Törvényszék a keresetet az ezt meghaladó részében elutasítja.
3) A Törvényszék az európai adatvédelmi biztost kötelezi a költségek viselésére.
Kihirdetve Luxembourgban, a 2023. április 26‑i nyilvános ülésen.
Aláírások