UNIONIN YLEISEN TUOMIOISTUIMEN TUOMIO (laajennettu kahdeksas jaosto)
26 päivänä huhtikuuta 2023 (*)
Henkilötietojen suoja – Menettely korvauksen maksamiseksi osakkeenomistajille ja velkojille pankin kriisinratkaisun jälkeen – EDPS:n päätös, jossa todetaan SRB:n laiminlyöneen henkilötietojen käsittelyä koskevia velvollisuuksiaan – Asetuksen (EU) 2018/1725 15 artiklan 1 kohdan d alakohta – Henkilötietojen käsite – Asetuksen 2018/1725 3 artiklan 1 alakohta – Oikeus tutustua asiakirja-aineistoon
Asiassa T‑557/20,
yhteinen kriisinratkaisuneuvosto (SRB), asiamiehinään H. Ehlers, M. Fernandez Ruperez ja A. Lapresta Bienz, avustajinaan asianajajat H.-G. Kamann, M. Braun, F. Louis ja L. Hesse,
kantajana,
vastaan
Euroopan tietosuojavaltuutettu (EDPS), asiamiehinään P. Candellier, X. Lareo ja T. Zerdick,
vastaajana,
UNIONIN YLEINEN TUOMIOISTUIN (laajennettu kahdeksas jaosto),
toimien kokoonpanossa: jaoston puheenjohtaja A. Kornezov sekä tuomarit G. De Baere (esittelevä tuomari), D. Petrlík, K. Kecsmár ja S. Kingston,
kirjaaja: hallintovirkamies I. Kurme,
ottaen huomioon asian käsittelyn kirjallisessa vaiheessa esitetyn,
ottaen huomioon 1.12.2022 pidetyssä istunnossa esitetyn,
on antanut seuraavan
tuomion
1 Yhteinen kriisinratkaisuneuvosto (jäljempänä SRB) vaatii SEUT 263 artiklaan perustuvassa kanteessaan yhtäältä kumoamaan Euroopan tietosuojavaltuutetun (jäljempänä EDPS) 24.11.2020 tekemän tarkistetun päätöksen, jonka se teki sen jälkeen, kun (SRB) oli pyytänyt sitä tarkastelemaan uudelleen 24.6.2020 tehtyä EDPS:n päätöstä, joka koski useiden eri kantelijoiden tekemiä viittä kantelua (asiat 2019-947, 2019-998, 2019-999, 2019-1000 ja 2019-1122) (jäljempänä tarkistettu päätös), ja toisaalta toteamaan 24.6.2020 tehdyn EDPS:n päätöksen (jäljempänä alkuperäinen päätös) lainvastaiseksi.
Asian tausta
2 SRB:n johdon istunnossa tehtiin 7.6.2017 päätös SRB/EES/2017/08 Banco Popular Español SA:ta koskevan kriisinratkaisumääräyksen (jäljempänä kriisinratkaisumääräys) antamisesta yhdenmukaisten sääntöjen ja yhdenmukaisen menettelyn vahvistamisesta luottolaitosten ja tiettyjen sijoituspalveluyritysten kriisinratkaisua varten yhteisen kriisinratkaisumekanismin ja yhteisen kriisinratkaisurahaston puitteissa sekä asetuksen (EU) N:o 1093/2010 muuttamisesta 15.7.2014 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 806/2014 (EUVL 2014, L 225, s. 1) perusteella.
3 Euroopan komissio teki samana päivänä päätöksen (EU) 2017/1246 kriisinratkaisumääräyksen hyväksymisestä (EUVL 2017, L 178, s. 15).
4 Kriisinratkaisumääräyksessä SRB totesi, että asetuksen N:o 806/2014 18 artiklan 1 kohdassa säädetyt edellytykset täyttyivät, ja päätti asettaa Banco Popular Españolin (jäljempänä Banco Popular) kriisinratkaisumenettelyyn. SRB päätti alaskirjata ja muuntaa Banco Popularin pääomainstrumentit asetuksen N:o 806/2014 21 artiklan mukaisesti sekä järjestää asetuksen N:o 806/2014 24 artiklan nojalla Banco Popularin liiketoiminnan myynnin, jossa osakkeet siirretään ostajalle.
5 Sen määrittämiseksi, olisiko osakkeenomistajia ja velkojia kohdeltu paremmin, jos Banco Popular olisi asetettu tavanomaiseen maksukyvyttömyysmenettelyyn, Deloitte toimitti 14.6.2018 Banco Popularin kriisinratkaisun jälkeen SRB:lle asetuksen N:o 806/2014 20 artiklan 16–18 kohdassa tarkoitetun erilaista kohtelua koskevan arvostuksen (jäljempänä kolmas arvostus).
6 SRB julkaisi 6.8.2018 internetsivustollaan 2.8.2018 antamansa tiedoksiannon, joka koski sen alustavaa päätöstä siitä, oliko sellaisille osakkeenomistajille ja velkojille tarpeen myöntää korvaus, joihin Banco Popularia koskevat kriisinratkaisutoimet olivat vaikuttaneet, ja oikeuteen tulla kuulluksi liittyvän menettelyn käynnistämistä (SRB/EES/2018/132) (jäljempänä alustava päätös), sekä kolmannen arvostuksen ei-luottamuksellisen version. SRB:n tiedoksiantoa koskeva ilmoitus julkaistiin Euroopan unionin virallisessa lehdessä 7.8.2018 (EUVL 2018, C 277 I, s. 1).
7 Voidakseen tehdä lopullisen päätöksen siitä, oliko osakkeenomistajille ja velkojille, joihin Banco Popularia koskevat kriisinratkaisutoimet olivat vaikuttaneet (jäljempänä kyseeseen tulevat osakkeenomistajat ja velkojat), tarpeen myöntää asetuksen N:o 806/2014 76 artiklan 1 kohdan e alakohdan mukainen korvaus, SRB pyysi alustavassa päätöksessä niitä ilmaisemaan kiinnostuksensa käyttää oikeuttaan tulla kuulluksi Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) 41 artiklan 2 kohdan a alakohdan mukaisesti.
Oikeuteen tulla kuulluksi liittyvä menettely
8 Alustavassa päätöksessä SRB ilmoitti, että oikeuteen tulla kuulluksi liittyvä menettely oli kaksivaiheinen. Ensimmäisessä vaiheessa (jäljempänä ilmoittautumisvaihe) kyseeseen tulevia osakkeenomistajia ja velkojia pyydettiin ilmoittamaan kiinnostuksestaan käyttää oikeuttaan tulla kuulluksi täyttämällä verkossa ilmoittautumislomake, joka oli saatavilla 14.9.2018 asti. Tämän jälkeen SRB tarkasti, että jokaisella kiinnostuksensa ilmaisseella tosiasiallisesti oli kyseeseen tulevan osakkeenomistajan tai velkojan asema. Toisessa vaiheessa (jäljempänä kuulemisvaihe) kyseeseen tulevat osakkeenomistajat ja velkojat, joiden aseman SRB oli tarkastanut, voivat esittää huomautuksensa alustavasta päätöksestä, jonka liitteenä oli kolmas arvostus.
9 Ilmoittautumisvaiheen aikana kyseeseen tulevien osakkeenomistajien ja velkojien, jotka halusivat käyttää oikeuttaan tulla kuulluksi, oli toimitettava SRB:lle todisteet, jotka osoittivat, että kriisinratkaisuajankohtana ne omistivat yhden tai useampia Banco Popularin pääomainstrumentteja, jotka oli alaskirjattu tai muunnettu ja siirretty Banco Santander SA:lle kriisinratkaisun yhteydessä. Toimitettaviin todisteisiin sisältyivät henkilötodistus sekä todistus näiden pääomainstrumenttien omistusoikeudesta 6.6.2017.
10 Ilmoittautumisvaiheen alkaessa 6.8.2018 SRB julkaisi internetsivustolla, jolla oikeuteen tulla kuulluksi liittyvään menettelyyn oli tarkoitus ilmoittautua, ja omalla internetsivustollaan myös tietosuojaselosteen, joka koski henkilötietojen käsittelyä oikeuteen tulla kuulluksi liittyvässä menettelyssä (jäljempänä tietosuojaseloste).
11 SRB ilmoitti 16.10.2018 internetsivustollaan, että kelpoisuusvaatimukset täyttäviä osakkeenomistajia ja velkojia pyydettäisiin toimittamaan kirjalliset huomautuksensa alustavasta päätöksestä kuulemisvaiheen aikana, joka alkaisi 6.11.2018.
12 SRB lähetti 6.11.2018 sähköpostitse kelpoisuusvaatimukset täyttäville osakkeenomistajille ja velkojille ainutkertaisen henkilökohtaisen linkin, jonka kautta ne pääsivät internetissä täytettävään lomakkeeseen (jäljempänä lomake). Lomakkeessa oli seitsemän kysymystä ja rajallinen vastaustila, jossa kyseeseen tulevat osakkeenomistajat ja velkojat voivat esittää huomautuksensa alustavasta päätöksestä ja kolmannen arvostuksen ei-luottamuksellisesta versiosta viimeistään 26.11.2018.
13 SRB tutki kyseeseen tulevien osakkeenomistajien ja velkojien alustavasta päätöksestä esittämät merkitykselliset huomautukset. Se pyysi Deloittea riippumattomana asiantuntijana arvioimaan kolmanteen arvostukseen liittyvät merkitykselliset huomautukset, toimittamaan sille arviointinsa sisältävän asiakirjan ja määrittämään, oliko kolmas arvostus näiden huomautusten perusteella edelleen pätevä.
Oikeuteen tulla kuulluksi liittyvässä menettelyssä kerättyjen tietojen käsittely SRB:ssä
14 Ilmoittautumisvaiheen aikana kerätyt tiedot eli osallistujien henkilötodistukset ja alaskirjattujen tai muunnettujen ja siirrettyjen Banco Popularin pääomainstrumenttien omistusoikeudesta toimitetut todistukset olivat saatavilla ainoastaan rajalliselle määrälle SRB:n henkilöstön jäseniä, joille annettiin tehtäväksi käsitellä nämä tiedot sen määrittämiseksi, täyttivätkö osallistujat kelpoisuusvaatimukset.
15 Nämä tiedot eivät näkyneet niille SRB:n henkilöstön jäsenille, jotka vastasivat huomautusten käsittelystä kuulemisvaiheen aikana, vaan nämä ainoastaan vastaanottivat huomautukset, jotka sitten yksilöitiin kullekin lomakkeella toimitetulle huomautukselle annetulla aakkosnumeerisella koodilla. Aakkosnumeerinen koodi muodostui 33-numeroisesta yksilöllisestä tunnisteesta, joka luotiin satunnaisesti lomakkeella toimitetun vastauksen vastaanottamishetkellä.
16 Ensimmäisessä vaiheessa SRB käsitteli automaattisella suodatuksella menettelyn osallistujien, joita oli 2 855, toimittamat 23 822 huomautusta, joista kullekin oli annettu yksilöllinen aakkosnumeerinen koodi. Näistä 20 101 määritettiin keskenään samanlaisiksi kahta algoritmia käyttämällä. Jokaista ensimmäisenä toimitettua huomautusta pidettiin alkuperäisenä huomautuksena, joka tutkittiin analyysivaiheessa, ja myöhemmin vastaanotetut samanlaiset huomautukset yksilöitiin sen kaksoiskappaleiksi.
17 Toisessa vaiheessa eli analyysivaiheessa SRB tutki huomautukset johdonmukaisuuden varmistamiseksi niiden merkityksellisyyden arvioinnin ja niiden luokittelun tai aiheenmukaisen ryhmittelyn aikana. Tätä varten SRB yksilöi huomautukset, jotka olivat keskenään samankaltaisia mutta eivät kuitenkaan samanlaisia ja jotka perustuivat samoihin internetissä saatavilla oleviin lähteisiin.
18 Ilmoittautumisvaiheessa kerätyt tiedot eivät olleet huomautusten analysoinnista vastanneen SRB:n henkilöstön saatavilla, joten huomautukset pidettiin erillään ne toimittaneiden henkilöiden henkilötiedoista, eikä kyseisellä henkilöstöllä ollut käytettävissään myöskään tiedot yhdistävää koodiavainta, joka olisi mahdollistanut osallistujan uudelleentunnistamisen kullekin huomautukselle annetun aakkosnumeerisen koodin avulla.
19 Analyysivaiheessa SRB vertaili keskenään kaikkia toimitettuja huomautuksia ja ryhmitteli ne sen mukaan, mihin lomakkeen kysymykseen niissä vastattiin. Tämän jälkeen huomautukset arvioitiin niiden merkityksellisyyden mukaan ja jaoteltiin yhtäältä huomautuksiin, jotka kuuluivat oikeuteen tulla kuulluksi liittyvän menettelyn soveltamisalaan, koska ne saattoivat vaikuttaa alustavaan päätökseen tai kolmanteen arvostukseen, ja toisaalta huomautuksiin, jotka jäivät sen soveltamisalan ulkopuolelle, koska ne koskivat Banco Popularin kriisinratkaisuun liittyviä muita seikkoja.
20 Sen jälkeen jokainen menettelyn soveltamisalaan kuuluva huomautus ryhmiteltiin johonkin SRB:n ennalta määrittelemistä 15 aihealueesta. Kullakin aihealueella huomautukset jaoteltiin yhtäältä niihin, jotka menivät SRB:n tarkasteltaviksi, koska ne koskivat alustavaa päätöstä, ja toisaalta niihin, jotka menivät Deloitten tarkasteltaviksi, koska ne koskivat kolmatta arvostusta. SRB:n tarkasteltaviksi menevien huomautusten ryhmässä ei eroteltu toisistaan niitä, jotka oli esitetty vain kerran, ja niitä, joilla oli kaksoiskappaleita.
21 Analyysivaiheen päätyttyä SRB oli yksilöinyt yhteensä 3 730 huomautusta, jotka oli luokiteltu niiden merkityksellisyyden ja aihealueen mukaan.
22 Kolmannessa vaiheessa eli tarkasteluvaiheessa SRB käsitteli alustavaan päätökseen liittyvät huomautukset, ja kolmanteen arvostukseen liittyvät huomautukset, joita oli 1 104, siirrettiin 17.6.2019 Deloittelle SRB:n suojatun virtuaalipalvelimen välityksellä. SRB latasi Deloittelle siirrettävät tiedostot virtuaalipalvelimelle ja asetti ne saataville rajoitetulle ja valvotulle määrälle Deloitten henkilöstön jäseniä, jotka osallistuivat suoraan tähän hankkeeseen.
23 Deloittelle siirretyt huomautukset suodatettiin, ryhmiteltiin ja aggregoitiin. Jos ne olivat aikaisempien huomautusten kopioita, Deloittelle toimitettiin niistä vain yksi versio, joten niitä yksittäisiä huomautuksia, jotka olivat toistuneet, ei voitu erottaa muista saman aihealueen huomautuksista eikä Deloitte voinut tietää, oliko kyseisen huomautuksen esittänyt yksi vai useampi menettelyn osallistuja.
24 Deloittelle siirretyt huomautukset olivat yksinomaan kuulemisvaiheessa vastaanotettuja huomautuksia, ja kullekin niistä oli annettu aakkosnumeerinen koodi. SRB oli ainoa, joka olisi voinut tämän koodin avulla yhdistää huomautukset ilmoittautumisvaiheessa vastaanotettuihin tietoihin. Aakkosnumeerinen koodi oli kehitetty tarkastuskäyttöön, ja sen avulla voitiin tarkistaa ja mahdollisesti todistaa jälkikäteen, että kaikki huomautukset oli käsitelty ja otettu asianmukaisesti huomioon. Deloittella ei ollut eikä edelleenkään ole pääsyä ilmoittautumisvaiheessa kerättyjen tietojen tietokantaan.
Euroopan tietosuojavaltuutetun menettely
25 Tietyt kyseeseen tulevat osakkeenomistajat ja velkojat, jotka olivat toimittaneet vastauksensa lomakkeella, tekivät 19., 26. ja 28.10.2019 ja 5.12.2019 tietosuojavaltuutetulle viisi kantelua (asiat 2019-947, 2019-998, 2019-999, 2019-1000 ja 2019-1122) (jäljempänä kyseiset viisi kantelua) luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23.10.2018 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (EUVL 2018, L 295, s. 39) nojalla.
26 Kyseisten viiden kantelun tekijät (jäljempänä kantelijat) väittivät, ettei SRB ollut ilmoittanut niille, että lomakkeella toimitettuja vastauksia käyttämällä kerätyt tiedot siirrettäisiin kolmansille osapuolille eli Deloittelle ja Banco Santanderille, eikä siten ollut noudattanut tietosuojaselostetta. Kantelijat väittivät, että SRB oli tästä syystä rikkonut asetuksen 2018/1725 15 artiklan 1 kohdan d alakohtaa, jonka mukaan ”kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot: – – mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät”.
27 EDPS ilmoitti 12.12.2019 SRB:lle vastaanottaneensa kyseiset viisi valitusta ja kehotti sitä esittämään huomautuksensa.
28 EDPS teki alkuperäisen päätöksen 24.6.2020 sen jälkeen, kun menettely, jonka aikana SRB toimitti tietosuojavaltuutetun pyynnöstä useita selvityksiä ja kantelijat esittivät huomautuksia, oli saatettu päätökseen. EDPS katsoi, että SRB oli rikkonut asetuksen 2018/1725 15 artiklaa, kun se ei ollut ilmoittanut tietosuojaselosteessa kantelijoille, että heidän henkilötietojaan saatettiin luovuttaa Deloittelle. Näin ollen EDPS antoi SRB:lle huomautuksen tästä rikkomuksesta asetuksen 2018/1725 58 artiklan 2 kohdan b alakohdan nojalla.
29 SRB pyysi 22.7.2020 EDPS:ää tarkastelemaan alkuperäistä päätöstä uudelleen Euroopan tietosuojavaltuutetun työjärjestyksen vahvistamisesta 15.5.2020 annetun Euroopan tietosuojavaltuutetun päätöksen (EUVL 2020, L 204, s. 49) 18 artiklan 1 kohdan nojalla. SRB toimitti muun muassa yksityiskohtaisen kuvauksen oikeuteen tulla kuulluksi liittyvästä menettelystä ja neljän kantelijan kuulemisvaiheen aikana toimittamille huomautuksille tehdystä analyysista. Se väitti, etteivät Deloittelle siirretyt tiedot olleet asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoitettuja henkilötietoja.
30 EDPS ilmoitti 5.8.2020 SRB:lle, että se oli sille toimitettujen uusien tietojen perusteella päättänyt tarkastella alkuperäistä päätöstä uudelleen ja korvata sen toisella päätöksellä.
31 EDPS teki tarkistetun päätöksen 24.11.2020, kun uudelleentarkastelumenettely, jonka aikana kantelijat esittivät huomautuksia ja SRB toimitti lisätietoja tietosuojavaltuutetun pyynnöstä, oli saatettu päätökseen.
32 EDPS päätti tarkistaa alkuperäistä päätöstä seuraavasti:
”1. EDPS katsoo, että SRB:n Deloittelle luovuttamat tiedot olivat pseudonymisoituja tietoja siksi, että [kuulemisvaiheessa] toimitetut huomautukset olivat henkilötietoja, ja siksi, että SRB jakoi aakkosnumeerisen koodin, jonka avulla [ilmoittautumisvaiheen] aikana saadut vastaukset voitiin yhdistää [kuulemisvaiheen] aikana saatuihin vastauksiin, vaikka tietoja, jotka osallistujat toimittivat [ilmoittautumisvaiheen] aikana yksilöidäkseen itsensä, ei luovutettukaan Deloittelle.
2. EDPS katsoo, että Deloitte oli asetuksen 2018/1725 3 artiklan 13 alakohdassa tarkoitettu kantelijoiden henkilötietojen vastaanottaja. Se, että Deloittea ei mainittu SRB:n tietosuojaselosteessa niiden henkilötietojen mahdollisena vastaanottajana, jotka SRB:n rekisterinpitäjänä keräsi ja joita se käsitteli oikeuteen tulla kuulluksi liittyneessä menettelyssä, merkitsee [asetuksen 2018/1725] 15 artiklan 1 kohdan d alakohdassa tarkoitetun tietojen toimittamista koskevan velvollisuuden laiminlyöntiä.
3. Ottaen huomioon tekniset ja organisatoriset toimenpiteet, joita SRB toteutti vähentääkseen riskejä siitä, että luonnollisten henkilöiden oikeutta henkilötietojen suojaan loukataan oikeuteen tulla kuulluksi liittyvässä menettelyssä, EDPS päättää olla käyttämättä [asetuksen 2018/1725] 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksiaan.
4. EDPS kuitenkin suosittelee SRB:lle, että se varmistaisi, että sen tulevissa oikeuteen tulla kuulluksi liittyvissä menettelyissä laadittavat tietosuojaselosteet kattavat sekä ilmoittautumis- että kuulemisvaiheessa suoritettavan henkilötietojen käsittelyn ja että näissä selosteissa mainitaan kerättyjen tietojen kaikki mahdolliset vastaanottajat, jotta SRB noudattaisi täysimääräisesti [asetuksen 2018/1725] 15 artiklan mukaista velvollisuuttaan toimittaa tietoja rekisteröidyille”.
Asianosaisten vaatimukset
33 SRB, joka on mukauttanut vaatimuksiaan, vaatii, että unionin yleinen tuomioistuin
– kumoaa tarkistetun päätöksen
– toteaa alkuperäisen päätöksen lainvastaiseksi
– velvoittaa EDPS:n korvaamaan oikeudenkäyntikulut.
34 EDPS vaatii, että unionin yleinen tuomioistuin
– hylkää kanteen
– velvoittaa SRB:n korvaamaan oikeudenkäyntikulut.
Oikeudellinen arviointi
Toinen vaatimus, jossa unionin yleistä tuomioistuinta vaaditaan toteamaan alkuperäinen päätös lainvastaiseksi
35 Käsiteltävässä asiassa asianosaisten välillä on riidatonta, että alkuperäinen päätös kumottiin ja korvattiin tarkistetulla päätöksellä.
36 EDPS väittää, että tästä syystä alkuperäistä päätöstä koskeva vaatimus on jätettävä tutkimatta.
37 SRB väittää, että sillä on yhä intressi saada alkuperäisen päätöksen tekemiseen johtaneet menettelyvirheet eli puolustautumisoikeuksien ja asiakirjoihin tutustumista koskevan oikeuden loukkaukset todetuiksi, jotta ne eivät toistu tulevissa menettelyissä. Prosessinjohtotoimeen antamassaan vastauksessa SRB täsmensi, ettei se toisella vaatimuksellaan vaadi alkuperäisen päätöksen kumoamista, koska alkuperäinen päätös on kumottu ja korvattu tarkistetulla päätöksellä taannehtivin (ex tunc) vaikutuksin, vaan alkuperäisen päätöksen toteamista lainvastaiseksi.
38 Näin ollen on katsottava, että SRB pyrkii toisella vaatimuksellaan saamaan vahvistustuomion eikä vaatimaan toimen kumoamista.
39 Tästä on riittävää muistuttaa, että vakiintuneen oikeuskäytännön mukaan unionin yleisellä tuomioistuimella ei ole toimivaltaa antaa vahvistustuomiota SEUT 263 artiklaan perustuvan laillisuusvalvonnan yhteydessä (ks. tuomio 4.2.2009, Omya v. komissio, T‑145/06, EU:T:2009:27, 23 kohta oikeuskäytäntöviittauksineen ja tuomio 13.9.2018, DenizBank v. neuvosto, T‑798/14, EU:T:2018:546, 135 kohta oikeuskäytäntöviittauksineen).
40 Tästä seuraa, että SRB:n toinen vaatimus, jolla pyritään siihen, että unionin yleinen tuomioistuin ”toteaa alkuperäisen päätöksen lainvastaiseksi”, on hylättävä, koska unionin yleinen tuomioistuin ei ole toimivaltainen.
Tarkistetun päätöksen kumoamista koskevan ensimmäisen vaatimuksen tutkittavaksi ottamisen edellytykset
41 Kanteen tutkittavaksi ottamisen edellytykset kuuluvat ehdottomiin prosessinedellytyksiin, jotka unionin tuomioistuimet voivat milloin tahansa ottaa huomioon viran puolesta (ks. tuomio 16.3.2022, MEKH ja FGSZ v. ACER, T‑684/19 ja T‑704/19, EU:T:2022:138, 29 kohta oikeuskäytäntöviittauksineen; ks. vastaavasti myös tuomio 24.3.1993, CIRFS ym. v. komissio, C‑313/90, EU:C:1993:111, 23 kohta). Unionin yleinen tuomioistuin esitti asianosaisille prosessinjohtotoimen yhteydessä muun muassa kysymyksen siitä, onko tarkistettu päätös SEUT 263 artiklassa tarkoitettu kannekelpoinen toimi.
42 Tähän kysymykseen antamassaan vastauksessa EDPS totesi, että se, että tarkistetussa päätöksessä vahvistetaan EDPS:n lopullinen kanta ja todetaan rikkominen, ei riitä siihen, että se olisi kannekelpoinen toimi. Tähän vaadittaisiin sitä, että lopullisella kannalla muutettaisiin SRB:n oikeudellista asemaa. Koska EDPS ei käyttänyt tarkistetussa päätöksessä asetuksen 2018/1725 58 artiklan mukaisia korjaavia toimivaltuuksiaan, on katsottava, ettei kyseisellä päätöksellä ole SEUT 263 artiklan mukaisen tuomioistuinvalvonnan edellyttämiä oikeusvaikutuksia.
43 Samaan kysymykseen antamassaan vastauksessa SRB väitti, että tarkistetulla päätöksellä on oikeusvaikutuksia, jotka voivat vaikuttaa SRB:n etuihin.
44 Oikeuskäytännöstä ilmenee, että luonnollinen henkilö tai oikeushenkilö voi nostaa SEUT 263 artiklan neljännen kohdan nojalla kumoamiskanteen ainoastaan sellaisista toimista, joilla on sitovia oikeusvaikutuksia, jotka voivat vaikuttaa kantajan etuihin muuttamalla tämän oikeusasemaa selvästi. Kannekelpoisia toimia ovat siten pääsääntöisesti toimenpiteet, joissa lopullisesti vahvistetaan toimielimen kanta hallinnollisen menettelyn päätteeksi ja joilla pyritään aikaansaamaan sitovia oikeusvaikutuksia, jotka ovat omiaan vaikuttamaan kantajan etuihin; sen sijaan menettelyn kuluessa tehdyillä toimenpiteillä, joilla valmistellaan lopullista päätöstä, ei ole tällaisia vaikutuksia (ks. tuomio 25.6.2020, CSUE v. KF, C‑14/19 P, EU:C:2020:492, 69 ja 70 kohta oikeuskäytäntöviittauksineen ja tuomio 6.5.2021, ABLV Bank ym. v. EKP, C‑551/19 P ja C‑552/19 P, EU:C:2021:369, 39 kohta oikeuskäytäntöviittauksineen).
45 Sen määrittämiseksi, onko riidanalaisella toimella tällaisia vaikutuksia, on tarkasteltava toimen asiasisältöä ja arvioitava näitä vaikutuksia objektiivisten kriteerien, kuten kyseisen toimen sisällön, valossa ja ottamalla tarvittaessa huomioon toimen toteuttamisen asiayhteys ja toimen toteuttaneen toimielimen, elimen tai laitoksen toimivalta (ks. tuomio 22.4.2021, thyssenkrupp Electrical Steel ja thyssenkrupp Electrical Steel Ugo v. komissio, C‑572/18 P, EU:C:2021:317, 48 kohta oikeuskäytäntöviittauksineen; tuomio 6.5.2021, ABLV Bank ym. v. EKP, C‑551/19 P ja C‑552/19 P, EU:C:2021:369, 41 kohta oikeuskäytäntöviittauksineen ja tuomio 6.10.2021, Tognoli ym. v. parlamentti, C‑431/20 P, EU:C:2021:807, 34 kohta oikeuskäytäntöviittauksineen).
46 Ensinnäkin on muistutettava, että EDPS teki tarkistetun päätöksen SRB:n pyydettyä alkuperäisen päätöksen uudelleentarkastelua. Tarkistetulla päätöksellä, joka tehtiin kontradiktorisen hallinnollisen menettelyn päätteeksi, kumotaan ja korvataan alkuperäinen päätös, ja se on päätös, jossa vahvistetaan tietosuojavaltuutetun lopullinen kanta kyseisiin viiteen kanteluun.
47 Asetuksen 2018/1725 64 artiklan, joka koskee oikeutta tehokkaisiin oikeussuojakeinoihin, 2 kohdassa säädetään, että tietosuojavaltuutetun päätöksiin voidaan hakea muutosta unionin tuomioistuimelta.
48 EDPS:n työjärjestyksen 18 artiklan, jonka perusteella tarkistettu päätös tehtiin, 3 kohdassa määrätään erityisesti seuraavaa:
”Jos tietosuojavaltuutettu antaa sen jälkeen, kun sen kantelua koskevasta päätöksestä on tehty uudelleenkäsittelypyyntö, uuden ja tarkistetun päätöksen, tietosuojavaltuutetun on ilmoitettava kantelijalle ja kyseessä olevalle toimielimelle, että kyseisestä uudesta päätöksestä voi nostaa kanteen Euroopan unionin tuomioistuimessa [SEUT] 263 artiklan mukaisesti”.
49 SRB:lle toimitetun tarkistetun päätöksen saatteessa todetaan tästä seuraavaa:
”Pyydämme teitä huomioimaan, että 24.6.2020 tehty päätös kumotaan ja korvataan tällä päätöksellä. Tähän päätökseen voitte hakea muutosta unionin tuomioistuimelta kahden kuukauden kuluessa sen tekopäivästä [SEUT] 263 artiklassa määrätyin edellytyksin.”
50 Toiseksi tarkistetun päätöksen sisällöstä on muistutettava, että EDPS totesi yhtäältä, että SRB oli laiminlyönyt asetuksen 2018/1725 15 artiklan 1 kohdan d alakohdassa säädettyä tietojen toimittamista koskevaa velvoitettaan, ja toisaalta, että SRB:n oli suositeltavaa varmistaa, ettei tämä laiminlyönti toistuisi sen tulevissa tietosuojaselosteissa.
51 Yhtäältä on korostettava, että asetuksen 2018/1725 65 artiklan mukaan tällainen laiminlyönti voi aiheuttaa vastuun SRB:lle rekisterinpitäjänä, jollei perussopimuksissa määrätyistä muista edellytyksistä muuta johdu.
52 Toisaalta asetuksen 2018/1725 66 artiklan 1 kohdan mukaan on niin, että kun EDPS päättää hallinnollisen sakon määräämisestä unionin toimielimelle tai elimelle ja tämän sakon määrästä, sen on otettava huomioon muun muassa tämän unionin toimielimen tai elimen mahdolliset aiemmat samankaltaiset rikkomiset. Jos siis SRB ei noudata EDPS:n suositusta oikeuteen tulla kuulluksi liittyvissä menettelyissä tulevaisuudessa julkaistavien tietosuojaselosteiden muuttamisesta, SRB:n voidaan todeta syyllistyneen asetuksen 2018/1725 15 artiklan 1 kohdan d alakohdan samankaltaiseen rikkomiseen, mikä voi johtaa sakon määräämiseen.
53 Tästä seuraa, että sillä, että tarkistetussa päätöksessä todetaan SRB:n rikkoneen asetuksen 2018/1725 15 artiklan 1 kohdan d alakohtaa, on sitovia oikeusvaikutuksia, vaikka EDPS ilmoittikin, että se jättää käyttämättä asetuksen 2018/1725 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksiaan.
54 Edellä esitetyn perusteella tarkistettu päätös on unionin toimi, joka voi vaikuttaa vastaanottajan etuihin muuttamalla tämän oikeusasemaa selvästi. Näin ollen se on SEUT 263 artiklassa tarkoitettu kannekelpoinen toimi.
55 Näin ollen on katsottava, että ensimmäinen vaatimus, joka koskee tarkistetun päätöksen kumoamista, täyttää tutkittavaksi ottamisen edellytykset.
Asiakysymys
56 SRB vetoaa kanteensa tueksi kahteen kanneperusteeseen. Ensimmäinen kanneperuste koskee asetuksen 2018/1725 3 artiklan 1 alakohdan rikkomista siltä osin kuin Deloittelle siirretyt tiedot eivät olleet henkilötietoja. Toinen kanneperuste koskee perusoikeuskirjan 41 artiklassa vahvistetun hyvää hallintoa koskevan oikeuden loukkaamista.
57 Ensimmäisessä kanneperusteessaan SRB väittää, että EDPS rikkoi asetuksen 2018/1725 3 artiklan 1 alakohtaa, kun se totesi tarkistetussa päätöksessä, että Deloittelle siirretyt tiedot olivat kantelijoiden henkilötietoja.
58 Asetuksen 2018/1725 3 artiklan 1 alakohdassa olevan määritelmän mukaan henkilötiedoilla tarkoitetaan ”kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön – – liittyviä tietoja”, ja siinä mainitaan, että ”tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella”.
59 Tästä määritelmästä ilmenee, että tietoja pidetään henkilötietoina etenkin, jos kaksi kumulatiivista edellytystä täyttyvät: yhtäältä tietojen on ”liityttävä” luonnolliseen henkilöön ja toisaalta kyseessä on oltava ”tunnistettu tai tunnistettavissa” oleva henkilö.
Asetuksen 2018/1725 3 artiklan 1 alakohdassa säädetty edellytys, jonka mukaan tietojen on ”liityttävä” luonnolliseen henkilöön
60 SRB väittää, että kuulemisvaiheessa saadut ja Deloittelle siirretyt huomautukset eivät liittyneet kehenkään tiettyyn asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoitettuun henkilöön. Se katsoo, ettei kantelijoiden toimittamiin huomautuksiin sovelleta 20.12.2017 annetussa tuomiossa Nowak (C‑434/16, EU:C:2017:994) noudatettua päättelyä. SRB väittää, että kantelijoiden huomautuksiin sisältyvät tiedot olivat kantelijoiden henkilöstä tai henkilökohtaisista ominaisuuksista riippumattomia asiallisia ja oikeudellisia tietoja, joilla ei ollut mitään yhteyttä heidän yksityiselämäänsä. SRB toteaa, että oikeuteen tulla kuulluksi liittyvän menettelyn tarkoituksena oli arvioida alustavasta päätöksestä ja kolmannesta arvostuksesta esitetyt tosiseikkoja ja oikeudellisia seikkoja koskevat väitteet, joita oli tullut suurelta määrältä osallistujia, eikä näiden osallistujien henkilöllä ja henkilöllisyydellä ollut mitään merkitystä heidän huomautusten arvioinnin kannalta.
61 EDPS väittää, että kyseeseen tulevien osakkeenomistajien ja velkojien huomautusten sisältö on heihin ”liittyvää” tietoa, koska heidän vastauksensa sisälsivät ja kuvastivat heidän henkilökohtaisia näkemyksiään, vaikka ne perustuivatkin yleisesti saatavilla oleviin tietoihin. Kantelijoiden ja muiden osallistujien lomakkeella toimittamat vastaukset ovat henkilötietoja, eikä tähän vaikuta se, onko kyse oman vai yhteisen näkemyksen ilmaisemisesta, eikä se, pitääkö SRB näitä vastauksia kyseeseen tulevien osakkeenomistajien ja velkojien yksityisyyden suojaa koskevista erityisistä oikeuksista riippumattomina tietoina.
62 EDPS myös katsoo, että huomautuksia on pidettävä henkilötietoina vaikutuksensa takia. Huomautusten arviointi, jonka tarkoituksena oli selvittää kolmannen arvostuksen pätevyys ja alustavan päätöksen lainmukaisuus, on voinut vaikuttaa osallistujien etuihin ja oikeuksiin taloudellisen korvauksen osalta. Lisäksi EDPS väittää, että huomautusten keräämisen tarkoituksena oli varmistaa osapuolten menettelylliset oikeudet kuulemalla yksittäisten osallistujien näkemyksiä.
63 Tarkistetussa päätöksessä EDPS totesi, että kuulemisvaiheessa saadut vastaukset olivat kantelijoiden henkilötietoja, koska ne sisälsivät heidän henkilökohtaiset näkemyksensä ja olivat siten heihin liittyviä tietoja, vaikka ne perustuivatkin näiden näkemysten ilmaisemista varten yleisesti saataville asetettuihin tietoihin. EDPS katsoi, että se, että kantelijat olivat ilmaisseet näkemyksiä, jotka olivat samankaltaisia mutta eivät kuitenkaan samanlaisia kuin muiden osallistujien näkemykset, ei tarkoittanut sitä, etteivät kantelijoiden vastaukset kuvastaneet heidän omia näkemyksiään. Näin ollen EDPS katsoi, että kaikkia kantelijoiden ja muiden osallistujien vapaassa tekstikentässä esittämiä vastauksia oli pidettävä henkilötietoina riippumatta siitä, oliko kyse heidän omasta ja ainutkertaisesta näkemyksestään vai yhteisestä näkemyksestä tai oliko tämä näkemys saanut vaikutteita tai oliko se otettu yleisesti saatavilla olevista tiedoista. EDPS täsmensi, ettei tämä päätelmä ole vastoin 20.12.2017 annettua tuomiota Nowak (C‑434/16, EU:C:2017:994), jossa unionin tuomioistuin ei tehnyt eroa vastaajien itsensä laatimien vastausten ja muista tietolähteistä saatujen vastausten välillä.
64 On tutkittava, onko EDPS voinut perustellusti katsoa, että Deloittelle siirretyt tiedot ”liittyivät” luonnolliseen henkilöön asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoitetulla tavalla.
65 Aluksi on todettava, että tarkistetussa päätöksessä EDPS määritteli kaikki kyseeseen tulevien osakkeenomistajien ja velkojien kuulemisvaiheessa esittämät huomautukset henkilötiedoiksi eikä rajannut tätä arviota pelkästään Deloittelle siirrettyihin tietoihin.
66 Koska tarkistetussa päätöksessä todettu asetuksen 2018/1725 15 artiklan 1 kohdan d alakohdan rikkominen koski yksinomaan sitä, ettei SRB ollut maininnut tietosuojaselosteessa, että Deloitte oli tiettyjen tietojen mahdollinen vastaanottaja, on tutkittava ainoastaan, olivatko Deloittelle siirretyt tiedot asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoitettuja henkilötietoja.
67 Asetuksen 2018/1725 3 artiklan 13 alakohdan mukaan ”vastaanottajalla” tarkoitetaan ”luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei”.
68 Oikeuskäytännön mukaan ilmaisun ”kaikki – – tiedot” käyttäminen asetuksen 2018/1725 3 artiklan 1 alakohtaan sisältyvän henkilötietojen määritelmän yhteydessä heijastaa unionin lainsäätäjän pyrkimystä antaa laaja merkitys tälle käsitteelle, jota ei ole rajattu arkaluonteisiin tai yksityisiin tietoihin, vaan joka voi kattaa kaikenlaiset tiedot, sekä objektiiviset että subjektiiviset tiedot, jotka ilmaistaan mielipiteen tai arvion muodossa, edellyttäen, että ne ”liittyvät” kyseessä olevaan henkilöön (ks. analogisesti tuomio 20.12.2017, Nowak, C‑434/16, EU:C:2017:994, 34 kohta).
69 Viimeksi mainitusta edellytyksestä unionin tuomioistuin on todennut, että se täyttyy, kun tieto liittyy tiettyyn henkilöön sisältönsä, tarkoituksensa tai vaikutuksensa vuoksi (tuomio 20.12.2017, Nowak, C‑434/16, EU:C:2017:994, 35 kohta).
70 Tarkistetussa päätöksessä EDPS ei tutkinut Deloittelle siirrettyjen tietojen sisältöä, tarkoitusta eikä vaikutusta.
71 EDPS nimittäin vain totesi, että kantelijoiden kuulemisvaiheessa esittämät huomautukset kuvastivat heidän henkilökohtaisia mielipiteitään tai näkemyksiään, ja päätteli pelkästään tällä perusteella, että ne olivat kantelijoihin liittyviä tietoja, mikä riitti siihen, että ne voitiin määritellä henkilötiedoiksi.
72 Istunnossa EDPS vahvisti, että sen mukaan kaikkia henkilökohtaisia mielipiteitä on pidettävä henkilötietoina. EDPS myös myönsi, ettei se ollut tutkinut kantelijoiden kuulemisvaiheessa toimittamien huomautusten sisältöä.
73 Ei tietenkään voida sulkea pois sitä, että henkilökohtaiset näkemykset tai mielipiteet voivat olla henkilötietoja. Edellä 68 ja 69 kohdassa mainitusta 20.12.2017 annetun tuomion Nowak (C‑434/16, EU:C:2017:994) 34 ja 35 kohdasta kuitenkin ilmenee, ettei tällainen päätelmä voi perustua edellä 71 ja 72 kohdassa kuvatun kaltaiseen olettamaan, vaan sen on perustuttava arviointiin, jossa pyritään määrittämään, liittyvätkö tiedot johonkin tiettyyn henkilöön sisältönsä, tarkoituksensa tai vaikutuksensa vuoksi.
74 Tästä seuraa, että koska tällaista arviointia ei tehty, EDPS ei voinut todeta, että Deloittelle siirretyt tiedot olivat asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoitettuja luonnolliseen henkilöön liittyviä tietoja.
75 Unionin yleinen tuomioistuin tutkii seuraavaksi EDPS:n arvioinnin siitä, liittyivätkö Deloittelle siirretyt tiedot tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön.
Asetuksen 2018/1725 3 artiklan 1 alakohdassa säädetty edellytys, jonka mukaan tietojen on liityttävä ”tunnistettuun tai tunnistettavissa olevaan” luonnolliseen henkilöön
76 SRB väittää, että – toisin kuin EDPS katsoi – aakkosnumeerisen koodin luovuttaminen Deloittelle ei johtanut tietojen pseudonymisointiin. Ne pysyivät anonyymeinä, koska SRB ei luovuttanut Deloittelle tietoja, joiden avulla huomautusten laatijat olisi voitu tunnistaa uudelleen.
77 SRB väittää, että tiedot ovat kolmanteen osapuoleen nähden anonyymeja, vaikka alkuperäinen henkilötietojen käsittelijä ei peruuttamattomasti poistakaan uudelleentunnistamisen mahdollistavia tietoja vaan säilyttää ne, koska henkilötiedot toimitetaan kolmannelle osapuolelle muodossa, jossa huomautusten laatijan tunnistaminen ei ole enää mahdollista tai sitä ei voida pitää kohtuullisen todennäköisenä. SRB väittää, että – toisin kuin EDPS tarkistetussa päätöksessä totesi – asetuksessa 2018/1725 ja unionin tuomioistuimen oikeuskäytännössä edellytetään uudelleentunnistamisen riskin arviointia.
78 SRB väittää erityisesti, että unionin tuomioistuimen oikeuskäytännössä vahvistetut edellytykset, jotka koskevat uudelleentunnistamisen riskiä tilanteessa, jossa kaikki tiedot, joista henkilö on tunnistettavissa, eivät ole vain yhden osapuolen vaan useiden osapuolten hallussa, eivät täyty käsiteltävässä asiassa. Yhtäältä Deloitte ei pystynyt yksin kullekin yksittäiselle huomautukselle annetun aakkosnumeerisen koodin avulla tunnistamaan uudelleen henkilöitä, jotka olivat toimittaneet kyseiset huomautukset. Asetuksen 2018/1725 3 artiklan 6 kohdassa mainitut lisätiedot muodostuvat salauksen purkamisen mahdollistavia tietoja sisältävästä tietokannasta, johon ainoastaan SRB:llä on pääsy. Toisaalta tietojen yhdistämisen kohtuullista todennäköisyyttä koskevasta edellytyksestä on todettava, ettei Deloittella ollut eikä edelleenkään ole laillisia keinoja saada lisä- ja tunnistetietoja.
79 EDPS väittää, että se, ettei Deloittella ollut saatavillaan niitä SRB:n hallussa olleita tietoja, jotka olisivat mahdollistaneet uudelleentunnistamisen, ei tarkoita sitä, että Deloittelle siirretyistä ”pseudonymisoiduista” tiedoista tuli anonyymeja. Sen mukaan ei ole tarpeen selvittää, oliko Deloitten mahdollista tunnistaa uudelleen sille siirrettyjen tietojen laatijat tai oliko tämä uudelleentunnistaminen kohtuullisen todennäköistä. Tiedot pysyvät pseudonymisoituina, jos sillä kolmannella osapuolella, jolle ne siirretään, ei ole käytettävissään lisätietoja.
80 EDPS väittää, että ilmauksen ”epäsuorasti” käyttäminen asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoittaa, että jotta tiettyä tietoa voitaisiin pitää henkilötietona, ei ole tarpeen, että rekisteröity voidaan tunnistaa yksin kyseisen tiedon perusteella. Keinoista, joita joko rekisterinpitäjä tai muu henkilö kohtuullisen todennäköisesti käyttää henkilön tunnistamiseen, on todettava, ettei kaikkien niiden tietojen, joiden perusteella rekisteröity voidaan tunnistaa, tarvitse olla yhden ainoan henkilön hallussa.
81 Tarkistetussa päätöksessä EDPS katsoi, että Deloittelle siirretyt tiedot olivat pseudonymisoituja tietoja. Tältä osin se totesi, että pseydonymisoidut tiedot ja anonyymit tiedot eroavat toisistaan siinä, että anonyymien tietojen tapauksessa ei ole olemassa ”lisätietoja”, joita käyttämällä henkilötiedot voitaisiin yhdistää johonkin tiettyyn rekisteröityyn, kun taas pseudonymisoitujen tietojen tapauksessa tällaisia tietoja on olemassa. Näin ollen sen arvioimiseksi, olivatko tiedot anonyymeja vai pseudonymisoituja, oli tutkittava, oliko olemassa lisätietoja, joita käyttämällä henkilötiedot olisi voitu yhdistää tiettyihin rekisteröityihin.
82 EDPS totesi, että SRB oli siirtänyt Deloittelle paitsi tietyt kyseeseen tulevien osakkeenomistajien ja velkojien huomautukset myös niitä vastaavat aakkosnumeeriset koodit, mutta että ilmoittautumisvaiheessa annetut vastaukset eivät olleet Deloitten saatavilla. EDPS totesi, että – kuten SRB oli selittänyt – ”Deloitten oli mahdotonta saada selville kaikkien osapuolten henkilöllisyyttä käyttämällä tätä koodia, joka liittyi kelpoisuusvaatimukset täyttävien osallistujien ilmoittautumisvaiheessa antamiin konkreettisiin tietoihin (joita SRB oli kaiken aikaa säilyttänyt)”. EDPS kuitenkin katsoi, että ilmoittautumisvaiheessa toimitetut tiedot, joissa oli yksilöllinen tunniste eli kullekin kelpoisuusvaatimukset täyttävälle osallistujalle annettu aakkosnumeerinen koodi, olivat täydellinen esimerkki asetuksen 2018/1725 3 artiklan 6 kohdassa tarkoitetuista lisätiedoista, sillä SRB saattoi käyttää niitä henkilötietojen yhdistämiseksi kyseiseen rekisteröityyn.
83 EDPS selitti, ettei asetuksessa 2018/1725 eroteta toisistaan yksiköitä, jotka säilyttävät pseudonymisoituja tietoja, ja yksiköitä, jotka pitävät hallussaan lisätietoja, ja että se, että kyse on kahdesta eri yksiköstä, ei tee pseudonymisoiduista tiedoista anonyymeja. EDPS lisäsi, että se, ettei Deloitte olisi yksin pystynyt yhdistämään huomautuksia ilmoittautumisvaiheessa saatuihin tietoihin, ei sulkenut pois sitä, että sen vastaanottamat tiedot olivat pseudonymisoituja. EDPS:n mukaan tiedot, jotka SRB oli Deloitten kanssa jakanut, olivat pseudonymisoituja paitsi siksi, että kuulemisvaiheen aikana saadut huomautukset olivat henkilötietoja, myös siksi, että SRB luovutti Deloittelle aakkosnumeerisen koodin, jonka avulla ilmoittautumisvaiheessa annetut vastaukset voitiin yhdistää kuulemisvaiheessa annettuihin vastauksiin, vaikka osallistujien ilmoittautumisvaiheessa antamia tunnistetietoja ei ollutkaan siirretty Deloittelle. Tästä EDPS päätteli, että Deloittelle siirretyt tiedot olivat pseudonymisoituja tietoja ja siten asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoitettuja henkilötietoja.
84 Aluksi on syytä korostaa, että kun otetaan huomioon järjestelyt, jotka SRB oli ottanut käyttöön edellä 14–24 kohdassa kuvattujen, oikeuteen tulla kuulluksi liittyvässä menettelyssä kerättyjen tietojen käsittelyssä, Deloittelle siirretyt tiedot eivät koskeneet ”tunnistettuja” henkilöitä.
85 Näin ollen on tutkittava, saattoiko EDPS perustellusti katsoa, että Deloittelle siirretyt tiedot liittyivät asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoitettuun tunnistettavissa olevaan luonnolliseen henkilöön.
86 Kyseisen säännöksen mukaan tunnistettavissa olevalla luonnollisella henkilöllä tarkoitetaan luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa.
87 Asetuksen 2018/1725 johdanto-osan 16 perustelukappaleessa todetaan seuraavaa:
”– – Pseudonymisoidut henkilötiedot, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, olisi katsottava tiedoiksi, jotka koskevat tunnistettavissa olevaa luonnollista henkilöä. Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista. Jotta voidaan varmistaa, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys. – –”
88 On huomattava, että unionin tuomioistuin on 19.10.2016 antamassaan tuomiossa Breyer (C‑582/14, EU:C:2016:779) tulkinnut henkilötietojen käsitettä sellaisena, kuin se määritellään yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (EYVL 1995, L 281, s. 31) 2 artiklan a alakohdassa, joka sisältää asetuksen 2018/1725 3 artiklan 1 alakohtaa vastaavan säännöksen.
89 Asiassa Breyer oli kyse siitä, oliko verkkomediapalvelujen tarjoajan tallentama dynaaminen internetprotokollaosoite (jäljempänä IP-osoite) sen kannalta henkilötieto. Unionin tuomioistuin katsoi, että oli tutkittava, voidaanko tällaista palveluntarjoajan tallentamaa dynaamista IP-osoitetta pitää ”tunnistettavissa olevaa luonnollista henkilöä” koskevana tietona, kun yhtäältä tämä tieto ei yksinään anna tälle palveluntarjoajalle mahdollisuutta tunnistaa internetsivustolla käynyttä käyttäjää ja kun toisaalta lisätiedot, joiden perusteella tämä käyttäjä on mahdollista tunnistaa, kun niihin yhdistetään kyseinen IP-osoite, ovat kyseisen internetyhteyden tarjoajan hallussa.
90 Siltä osin kuin asetuksen 2018/1725 johdanto-osan 16 perustelukappaleessa viitataan kohtuullisesti toteuttavissa oleviin keinoihin, joita joko rekisterinpitäjä tai joku muu käyttää, sen sanamuoto viittaa siihen, että jotta tietoa voitaisiin pitää asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoitettuna henkilötietona, ei edellytetä, että kaikki tiedot, joiden perusteella rekisteröity voidaan tunnistaa, ovat yhden ainoan tahon hallussa (ks. analogisesti tuomio 19.10.2016, Breyer, C‑582/14, EU:C:2016:779, 43 kohta).
91 Unionin tuomioistuin kuitenkin lisäsi, että se, että internetsivuston käyttäjän tunnistamiseksi tarvittavat lisätiedot eivät ole verkkomediapalvelujen tarjoajan vaan kyseisen käyttäjän internetyhteyden tarjoajan hallussa, ei näytä sulkevan pois sitä, että verkkomediapalvelujen tarjoajan tallentamat dynaamiset IP-osoitteet ovat sen kannalta henkilötietoja (tuomio 19.10.2016, Breyer, C‑582/14, EU:C:2016:779, 44 kohta).
92 Unionin tuomioistuin katsoi, että oli kuitenkin selvitettävä, onko mahdollisuus yhdistää dynaaminen IP-osoite mainittuihin internetyhteyden tarjoajan hallussa oleviin lisätietoihin edellä mainittu rekisteröidyn tunnistamiseksi kohtuullisesti toteutettavissa oleva keino (tuomio 19.10.2016, Breyer, C‑582/14, EU:C:2016:779, 45 kohta).
93 Unionin tuomioistuin totesi, että näin ei ole silloin, kun rekisteröidyn tunnistaminen on kielletty laissa tai kun se ei ole käytännössä toteutettavissa esimerkiksi siitä syystä, että se veisi suhteettomasti aikaa ja aiheuttaisi suhteettomasti kustannuksia ja työtä, minkä seurauksena tunnistamisen riski näyttäytyy käytännössä merkityksettömänä (tuomio 19.10.2016, Breyer, C‑582/14, EU:C:2016:779, 46 kohta).
94 Käsiteltävässä asiassa ei ole kiistetty yhtäältä, että Deloittelle siirretyissä tiedoissa mainittu aakkosnumeerinen koodi ei yksinään antanut tälle mahdollisuutta tunnistaa huomautusten laatijoita, ja toisaalta, että Deloitten saatavilla ei ollut ilmoittautumisvaiheessa saatuja tunnistetietoja, jotka olisivat mahdollistaneet osallistujien yhdistämisen heidän toimittamiinsa huomautuksiin aakkosnumeerisen koodin avulla.
95 EDPS totesi tarkistetussa päätöksessä ja vahvisti istunnossa, että lisätiedot, jotka olisi tarvittu huomautusten laatijoiden tunnistamiseksi, muodostuivat aakkosnumeerisesta koodista ja tunnistetietojen tietokannasta.
96 Kuten EDPS toteaa, edellä 90 kohdassa mainittu 19.10.2016 annetun tuomion Breyer (C‑582/14, EU:C:2016:779) 43 kohta huomioon ottaen se, että kuulemisvaiheessa saatujen huomautusten laatijoiden tunnistamiseksi tarvittavat lisätiedot eivät olleet Deloitten vaan SRB:n hallussa, ei näytä a priori voivan sulkea pois sitä mahdollisuutta, että Deloittelle siirretyt tiedot olivat sen kannalta henkilötietoja.
97 19.10.2016 annetusta tuomiosta Breyer (C‑582/14, EU:C:2016:779) kuitenkin myös ilmenee, että sen määrittämiseksi, olivatko Deloittelle siirretyt tiedot henkilötietoja, on tarkasteltava tilannetta Deloitten kannalta, jotta voitaisiin määrittää, liittyivätkö sille siirretyt tiedot ”tunnistettavissa oleviin henkilöihin”.
98 On nimittäin muistutettava ensinnäkin, että EDPS:n tarkistetussa päätöksessä toteama asetuksen 2018/1725 15 artiklan 1 kohdan d alakohdan rikkominen koski sitä, että SRB siirsi tietyt huomautukset Deloittelle, eikä pelkästään sitä, että SRB piti niitä hallussaan.
99 Toiseksi Deloitten tilanne voidaan rinnastaa yhtäältä 19.10.2016 annetussa tuomiossa Breyer (C‑582/14, EU:C:2016:779) kyseessä olleen mediapalvelujen tarjoajan tilanteeseen, koska Deloittella oli hallussaan tietoja eli kolmanteen arvostukseen liittyviä huomautuksia, jotka eivät olleet kehenkään ”tunnistettavissa olevaan luonnolliseen henkilöön” liittyviä tietoja, sillä kussakin vastauksessa mainittu aakkosnumeerinen koodi ei suoraan mahdollistanut lomakkeen täyttäneen luonnollisen henkilön tunnistamista. Toisaalta SRB:n tilanne voidaan rinnastaa asiassa Breyer kyseessä olleen internetyhteyden tarjoajan tilanteeseen, koska on kiistatonta, että lisätiedot eli aakkosnumeerinen koodi ja tunnistetietojen tietokanta, joiden avulla lomakkeella vastanneet kyseeseen tulevat osakkeenomistajat ja velkojat olisi voitu tunnistaa, olivat yksin SRB:n hallussa.
100 Näin ollen EDPS:n olisi pitänyt edellä 91 kohdassa mainitun 19.10.2016 annetun tuomion Breyer (C‑582/14, EU:C:2016:779) 44 kohdan mukaisesti tutkia, olivatkio Deloittelle siirretyt huomautukset sen kannalta henkilötietoja.
101 Näin ollen EDPS väittää virheellisesti, ettei sen ollut tarpeen tutkia, oliko Deloitten mahdollista tunnistaa sille siirrettyjen tietojen laatijat uudelleen tai oliko tämä uudelleentunnistaminen kohtuullisesti mahdollista.
102 On todettava, että tarkistetussa päätöksessä EDPS totesi, että se, että lisätiedot, joiden avulla huomautusten laatijat olisi voitu tunnistaa uudelleen, olivat SRB:n hallussa, oli riittävä peruste todeta, että Deloittelle siirretyt tiedot olivat henkilötietoja, samalla kun se myönsi, että ilmoittautumisvaiheessa saatuja tietoja ei ollut toimitettu Deloittelle.
103 Tarkistetusta päätöksestä käy siten ilmi, että EDPS tarkasteli huomautusten laatijoiden uudelleentunnistamisen mahdollisuutta ainoastaan SRB:n kannalta eikä Deloitten kannalta.
104 Edellä 92 kohdassa mainitusta 19.10.2016 annetun tuomion Breyer (C‑582/14, EU:C:2016:779) 45 kohdasta ilmenee, että EDPS:n tehtävänä oli määrittää, oliko mahdollisuus yhdistää Deloittelle siirretyt tiedot SRB:n hallussa oleviin lisätietoihin Deloitten kohtuullisesti toteutettavissa oleva keino huomautusten laatijoiden tunnistamiseksi.
105 Koska EDPS ei tutkinut, oliko Deloittella käytettävissään lailliset ja käytännössä toteutettavissa olevat keinot saada huomautusten laatijoiden uudelleentunnistamiseksi tarvittavia lisätietoja, EDPS ei voinut todeta, että Deloittelle siirretyt tiedot olivat asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoitettuun tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja.
106 Edellä esitetystä seuraa, että ensimmäinen kanneperuste on hyväksyttävä ja että tarkistettu päätös on siten kumottava ilman, että toista kanneperustetta on tarpeen tutkia.
Oikeudenkäyntikulut
107 Unionin yleisen tuomioistuimen työjärjestyksen 134 artiklan 1 kohdan mukaan asianosainen, joka häviää asian, velvoitetaan korvaamaan oikeudenkäyntikulut, jos vastapuoli on sitä vaatinut.
108 Koska EDPS on hävinnyt pääosan vaatimuksistaan ja SRB on vaatinut oikeudenkäyntikulujensa korvaamista, EDPS on velvoitettava korvaamaan SRB:n oikeudenkäyntikulut.
Näillä perusteilla
UNIONIN YLEINEN TUOMIOISTUIN (laajennettu kahdeksas jaosto)
on ratkaissut asian seuraavasti:
1) Euroopan tietosuojavaltuutetun (EDPS) 24.11.2020 tekemä tarkistettu päätös, jonka se teki sen jälkeen, kun yhteinen kriisinratkaisuneuvosto (SRB) oli pyytänyt sitä tarkastelemaan uudelleen 24.6.2020 tehtyä EDPS:n päätöstä, joka koski useiden eri kantelijoiden tekemiä viittä kantelua (asiat 2019-947, 2019-998, 2019-999, 2019-1000 ja 2019-1122), kumotaan.
2) Kanne hylätään muilta osin.
3) EDPS velvoitetaan korvaamaan oikeudenkäyntikulut.
Julistettiin Luxemburgissa 26 päivänä huhtikuuta 2023.
Allekirjoitukset