BENDROJO TEISMO (aštuntoji išplėstinė kolegija) SPRENDIMAS
2023 m. balandžio 26 d.(*)
„Asmens duomenų apsauga – Kompensacijos mokėjimo akcininkams ir kreditoriams po banko pertvarkymo procedūra – EDAPP sprendimas, kuriuo nustatyta, kad BPV pažeidė su asmens duomenų tvarkymu susijusias pareigas – Reglamento (ES) 2018/1725 15 straipsnio 1 dalies d punktas – Sąvoka „Asmens duomenys“ – Reglamento 2018/1725 3 straipsnio 1 punktas – Teisė susipažinti su byla“
Byloje T‑557/20
Bendra pertvarkymo valdyba (BPV), atstovaujama H. Ehlers, M. Fernandez Ruperez, A. Lapresta Bienz, padedamų advokatų H.-G. Kamann, M. Braun, F. Louis, ir L. Hesse,
ieškovė,
prieš
Europos duomenų apsaugos priežiūros pareigūną (EDAPP), atstovaujamą P. Candellier, X. Lareo ir T. Zerdick,
atsakovą,
BENDRASIS TEISMAS (aštuntoji išplėstinė kolegija),
kurį sudaro pirmininkas A. Kornezov, teisėjai G. De Baere (pranešėjas), D. Petrlík, K. Kecsmár ir S. Kingston,
posėdžio sekretorė I. Kurme, administratorė,
atsižvelgęs į rašytinę proceso dalį,
įvykus 2022 m. gruodžio 1 d. posėdžiui,
priima šį
Sprendimą
1 SESV 263 straipsniu grindžiamu ieškiniu Bendra pertvarkymo valdyba (BPV) prašo, pirma, panaikinti peržiūrėtą 2020 m. lapkričio 24 d. Europos duomenų apsaugos priežiūros pareigūno (EDAPP) sprendimą, priimtą gavus BPV prašymą peržiūrėti 2020 m. birželio 24 d. EDAPP sprendimą dėl penkių skundų, pateiktų keleto pareiškėjų (bylos 2019‑947, 2019‑998, 2019‑999, 2019‑1000 ir 2019‑1122) (toliau – peržiūrėtas sprendimas), ir, antra, pripažinti, kad 2020 m. birželio 24 d. EDAPP sprendimas (toliau – pirminis sprendimas) yra neteisėtas.
Ginčo aplinkybės
2 2017 m. birželio 7 d. vykdomajame posėdyje BPV priėmė Sprendimą SRB/EES/2017/08 dėl Banco Popular Español, SA pertvarkymo schemos (toliau – pertvarkymo schema), remdamasi 2014 m. liepos 15 d. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 806/2014, kuriuo nustatomos kredito įstaigų ir tam tikrų investicinių įmonių pertvarkymo vienodos taisyklės ir vienoda procedūra, kiek tai susiję su bendru pertvarkymo mechanizmu ir Bendru pertvarkymo fondu, ir iš dalies keičiamas Reglamentas (ES) Nr. 1093/2010 (OL L 225, 2014, p. 1).
3 Tą pačią dieną Europos Komisija priėmė Sprendimą (ES) 2017/1246, kuriuo patvirtinama pertvarkymo schema (OL L 178, 2017, p. 15).
4 BPV, manydama, kad Reglamento Nr. 806/2014 18 straipsnio 1 dalyje numatytos sąlygos yra įvykdytos, pertvarkymo schemoje nusprendė taikyti Banco Popular Español (toliau – Banco Popular) pertvarkymo procedūrą. BPV nutarė nurašyti ir konvertuoti Banco Popular kapitalo priemones pagal Reglamento Nr. 806/2014 21 straipsnį ir taikyti verslo pardavimo priemonę pagal Reglamento Nr. 806/2014 24 straipsnį, perleidžiant akcijas pirkėjui.
5 Po Banco Popular pertvarkymo 2018 m. birželio 14 d. Deloitte pateikė BPV Reglamento Nr. 806/2014 20 straipsnio 16–18 dalyse numatytą skirtingo požiūrio vertinimą, atliktą siekiant nustatyti, ar akcininkams ir kreditoriams būtų taikytos geresnės sąlygos, jeigu Banco Popular būtų iškelta įprastinė bankroto byla (toliau – 3-iasis vertinimas).
6 2018 m. rugpjūčio 6 d. savo interneto svetainėje BPV paskelbė 2018 m. rugpjūčio 2 d. nuomonę apie savo preliminarų sprendimą dėl to, ar skirti kompensaciją akcininkams ir kreditoriams, kuriems taikytos Banco Popular pertvarkymo priemonės, ir dėl teisės būti išklausytam procedūros pradžios (SRB/EES/2018/132) (toliau – preliminarus sprendimas), taip pat nekonfidencialią 3-iojo vertinimo versiją. 2018 m. rugpjūčio 7 d. Europos Sąjungos oficialiajame leidinyje buvo paskelbtas pranešimas dėl BPV nuomonės (OL C 277 I, 2018, p. 1).
7 Preliminariame sprendime BPV nurodė, jog tam, kad galėtų priimti galutinį sprendimą dėl būtinybės mokėti akcininkams ir kreditoriams, patiriantiems poveikį dėl Banco Popular pertvarkymo, kompensaciją pagal Reglamento Nr. 806/2014 76 straipsnio 1 dalies e punktą, ji ragina juos pranešti apie interesą pasinaudoti teise būti išklausytiems pagal Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 41 straipsnio 2 dalies a punktą.
Dėl procedūros, susijusios su teise būti išklausytam
8 Preliminariame sprendime BPV nurodė, kad procedūra dėl teisės būti išklausytam bus vykdoma dviem etapais. Pirmajame etape (toliau – registracijos etapas) poveikį patiriančių akcininkų ir kreditorių buvo paprašyta iki 2018 m. rugsėjo 14 d. naudojant internetinę registracijos formą nurodyti savo suinteresuotumą pasinaudoti teise būti išklausytiems. Paskui BPV turėjo patikrinti, ar kiekviena suinteresuotumą išreiškusi šalis iš tikrųjų turėjo poveikį patiriančio akcininko ar kreditoriaus statusą. Antrajame etape (toliau – konsultacijų etapas) poveikį patiriantys akcininkai ir kreditoriai, kurių statusą patikrino BPV, galėjo pateikti savo komentarus dėl preliminaraus sprendimo, prie kurio buvo pridėtas 3-iasis vertinimas.
9 Per registracijos etapą poveikį patiriantys akcininkai ir kreditoriai, norintys pasinaudoti teise būti išklausytiems, turėjo pateikti BPV patvirtinamuosius dokumentus, įrodančius, kad pertvarkymo dieną jie turėjo vieną ar daugiau Banco Popular kapitalo priemonių, kurios vykdant pertvarkymą buvo nurašytos arba konvertuotos ir perduotos Banco Santander, SA. Tarp patvirtinamųjų dokumentų, kuriuos reikėjo pateikti, buvo tapatybės kortelė ir vienos iš šių kapitalo priemonių nuosavybės teisės 2017 m. birželio 6 d. įrodymas.
10 2018 m. rugpjūčio 6 d., t. y. registracijos etapo pradžios dieną, BPV registracijos į procedūrą dėl teisės būti išklausytam tinklalapyje ir savo interneto svetainėje taip pat paskelbė privatumo pareiškimą dėl asmens duomenų tvarkymo vykstant teisės būti išklausytam procedūrai (toliau – privatumo pareiškimas).
11 2018 m. spalio 16 d. BPV savo interneto svetainėje paskelbė, kad nuo 2018 m. lapkričio 6 d. reikalavimus atitinkančių akcininkų ir kreditorių bus paprašyta vykstant konsultacijų etapui pateikti rašytinius komentarus dėl preliminaraus sprendimo.
12 2018 m. lapkričio 6 d. elektroniniu laišku BPV išsiuntė reikalavimus atitinkantiems akcininkams ir kreditoriams unikalią asmeninę nuorodą, leidžiančią jiems internete prieiti prie formos (toliau – forma). Formoje buvo pateikti septyni klausimai, o atsakymams skirta ribota vieta, kad poveikį patiriantys akcininkai ir kreditoriai iki 2018 m. lapkričio 26 d. galėtų pateikti komentarus dėl preliminaraus sprendimo ir nekonfidencialios 3-iojo vertinimo versijos.
13 BPV išnagrinėjo reikšmingus poveikį patiriančių akcininkų ir kreditorių komentarus dėl preliminaraus sprendimo. Ji paprašė Deloitte, kaip nepriklausomo vertintojo, įvertinti reikšmingus komentarus dėl 3-iojo vertinimo, pateikti jai dokumentą su savo vertinimu ir išnagrinėti, ar 3-iasis vertinimas tebegalioja atsižvelgiant į šiuos komentarus.
Dėl BPV surinktų duomenų tvarkymo, vykstant procedūrai dėl teisės būti išklausytam
14 Prieigą prie registracijos etape surinktų duomenų, t. y. dalyvių tapatybės ir Banco Popular nurašytų arba konvertuotų ir perleistų kapitalo priemonių nuosavybės įrodymų, turėjo ribotas skaičius BPV darbuotojų, atsakingų už šių duomenų tvarkymą nustatant dalyvių atitiktį reikalavimams.
15 Šių duomenų negalėjo matyti BPV darbuotojai, atsakingi už konsultacijų etape gautų komentarų tvarkymą; vykstant šiam etapui, jie gaudavo tik tuos komentarus, kurie buvo identifikuojami pagal raidinį skaitmeninį kodą, priskirtą kiekvienam komentarui, pateiktam naudojant formą. Raidinį skaitmeninį kodą sudarė unikalus 33 skaitmenų universalus identifikatorius, kuris buvo atsitiktinai sugeneruotas gaunant formą.
16 Pirmajame etape BPV automatiškai patikrino 23 822 komentarus, kurių kiekvienas turėjo unikalų raidinį skaitmeninį kodą ir kuriuos pateikė 2 855 procedūros dalyviai. Du algoritmai padėjo nustatyti, kad 20 101 komentaras yra vienodi. Pirmiausia pateiktas komentaras buvo laikomas pradiniu komentaru, peržiūrėtu analizės etape, o vėliau gauti identiški komentarai buvo laikomi pasikartojančiais.
17 Antrajame etape, t. y. analizės etape, BPV išnagrinėjo komentarus, siekdama užtikrinti nuoseklumą vertinant jų svarbą ir skirstant į kategorijas arba suskirstant pagal apibrėžtas temas. Taigi BPV nustatė panašius, bet ne identiškus komentarus, grindžiamus tais pačiais internete prieinamais šaltiniais.
18 BPV darbuotojai, atsakingi už komentarų analizę, neturėjo prieigos nei prie duomenų, surinktų registracijos etape, nes šie komentarai buvo atskirti nuo asmeninės informacijos, susijusios su juos pateikusiais asmenimis, nei prie duomenų rakto ar informacijos, leidžiančios nustatyti dalyvio tapatybę pagal kiekvienam komentarui priskirtą unikalų raidinį skaitmeninį kodą.
19 Šiame analizės etape BPV palygino visus pateiktus komentarus ir suskirstė juos pagal tai, į kurį formos klausimą buvo atsakyta. Vėliau komentarai buvo įvertinti pagal jų svarbą ir suskirstyti į tuos, kurie pateko į teisės būti išklausytam procedūros taikymo sritį, nes galėjo turėti įtakos preliminariam sprendimui arba 3‑iajam vertinimui, ir į tuos, kurie nepateko, nes buvo susiję su kitais Banco Popular pertvarkymo aspektais.
20 Komentaras, patenkantis į procedūros taikymo sritį, buvo priskirtas vienai iš penkiolikos BPV iš anksto nustatytų temų. Atsižvelgiant į temą, komentarai buvo suskirstyti į tuos, į kuriuos turėjo atsižvelgti BPV, nes jie susiję su preliminariu sprendimu, ir į tuos, į kuriuos turėjo atsižvelgti Deloitte, nes jie susiję su 3-iuoju vertinimu. BPV neatskyrė komentarų, pateiktų tik vieną kartą, nuo tų, kurie kartojosi.
21 Pasibaigus analizės etapui BPV nustatė 3 730 komentarų, suskirstytų pagal jų svarbą ir temą.
22 Trečiajame etape, t. y. peržiūros etape, BPV apdorojo komentarus dėl preliminaraus sprendimo, o komentarai dėl 3-iojo vertinimo, t. y. 1 104 komentarai, 2019 m. birželio 17 d. buvo perduoti Deloitte per BPV skirtą saugų virtualų duomenų serverį. BPV į virtualų serverį įkėlė rinkmenas, kurios turėjo būti perduotos Deloitte, ir suteikė prieigą prie šių rinkmenų ribotam ir kontroliuojamam Deloitte darbuotojų, tiesiogiai dalyvaujančių projekte, skaičiui.
23 Deloitte perduoti komentarai buvo filtruoti, suskirstyti į kategorijas ir apibendrinti. Jei tai buvo ankstesnių komentarų kopijos, Deloitte buvo išsiunčiama tik viena versija, todėl atskirų pakartotų komentarų nebuvo galima atskirti pagal temą ir Deloitte neturėjo galimybės žinoti, ar komentarą pateikė vienas, ar daugiau procedūros dalyvių.
24 Deloitte perduoti komentarai buvo susiję tik su konsultacijų etape gautais komentarais, jiems buvo priskirtas raidinis skaitmeninis kodas. Naudodamasi šiuo kodu BPV vienintelė galėjo susieti komentarus su registracijos etape gautais duomenimis. Raidinis skaitmeninis kodas buvo sukurtas audito tikslais, kad būtų galima patikrinti ir retrospektyviai įrodyti, kad kiekvienas komentaras buvo apdorotas ir į jį buvo tinkamai atsižvelgta. Deloitte neturėjo ir vis dar neturi prieigos prie duomenų, surinktų registracijos etape, bazės.
Dėl procedūros EDAPP
25 2019 m. spalio 19, 26, 28 d. ir gruodžio 5 d. formą užpildę poveikį patyrę akcininkai ir kreditoriai pagal 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentą (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018, p. 39), pateikė EDAPP penkis skundus (bylos 2019‑947, 2019‑998, 2019‑999, 2019‑1000 ir 2019‑1122) (toliau – penki skundai).
26 Penkis skundus pateikę asmenys (toliau – pareiškėjai) nurodė, kad BPV jų neinformavo, jog duomenys, surinkti atsakant į formą, bus perduoti trečiosioms šalims, t. y. Deloitte ir Banco Santander, ir pažeidė privatumo deklaracijos sąlygas. Jie teigė, kad dėl to BPV pažeidė Reglamento 2018/1725 15 straipsnio 1 dalies d punktą, pagal kurį, „[k]ai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia <…> informaciją [apie] asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas, jei jos yra“.
27 2019 m. gruodžio 12 d. EDAPP pranešė BPV, kad gavo penkis skundus, ir paprašė jos pateikti pastabas.
28 2020 m. birželio 24 d., pasibaigus procedūrai, per kurią EDAPP prašymu BPV pateikė įvairių paaiškinimų, o pareiškėjai pateikė pastabų, EDAPP priėmė pirminį sprendimą. EDAPP nusprendė, kad BPV pažeidė Reglamento 2018/1725 15 straipsnį, nes privatumo pareiškime neinformavo pareiškėjų apie tai, kad jų asmens duomenys gali būti perduoti Deloitte. Todėl pagal Reglamento (ES) 2018/1725 58 straipsnio 2 dalies b punktą EDAPP kreipėsi į BPV dėl šio pažeidimo.
29 2020 m. liepos 22 d. BPV paprašė EDAPP peržiūrėti pirminį sprendimą pagal 2020 m. gegužės 15 d. EDAPP sprendimo, kuriuo priimamos EDAPP darbo tvarkos taisyklės (OL L 204, 2020, p. 49), 18 straipsnio 1 dalį. Visų pirma BPV pateikė išsamų teisės būti išklausytam procedūros aprašymą ir konsultacijų etape keturių nustatytų pareiškėjų pateiktų komentarų analizę. Ji teigė, kad Deloitte perduota informacija nėra asmens duomenys, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą.
30 2020 m. rugpjūčio 5 d. EDAPP informavo BPV, kad, atsižvelgdamas į pateiktus naujus įrodymus, nusprendė peržiūrėti pirminį sprendimą ir priimti jį pakeisiantį sprendimą.
31 Pasibaigus peržiūros procedūrai (per ją pareiškėjai pateikė pastabų, o EDAPP prašymu BPV pateikė papildomos informacijos), 2020 m. lapkričio 24 d. EDAPP priėmė peržiūrėtą sprendimą.
32 EDAPP nusprendė peržiūrėti pirminį sprendimą ir nustatė:
„1. EDAPP mano, kad duomenims, kuriais BPV dalijosi su Deloitte, buvo suteikti pseudonimai, nes [konsultacijų] etape pateikti komentarai yra asmens duomenys, o BPV dalijosi raidiniu skaitmeniniu kodu, leidžiančiu per [registracijos] etapą gautus atsakymus susieti su [konsultacijos] etape gautais atsakymais, nors duomenys, kuriuos dalyviai pateikė tam, kad būtų nustatyta jų tapatybė [registracijos] etape, nebuvo perduoti Deloitte.
2. EDAPP mano, kad Deloitte yra pareiškėjų asmens duomenų gavėja, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 13 punktą. Tai, kad Deloitte nebuvo paminėta BPV privatumo pareiškime kaip potenciali BPV, kaip duomenų valdytojos vykstant procedūrai dėl teisės būti išklausytam, surinktų ir tvarkomų asmens duomenų gavėja, yra [Reglamento 2018/1725] 15 straipsnio 1 dalies d punkte numatytos pareigos pateikti informaciją pažeidimas.
3. Atsižvelgdamas į visas technines ir organizacines priemones, kurias BPV įdiegė siekdama sumažinti riziką, kylančią fizinių asmenų teisei į duomenų apsaugą, vykdant teisės būti išklausytam procedūrą, EDAPP nusprendžia nesinaudoti įgaliojimais imtis taisomųjų veiksmų pagal [Reglamento 2018/1725] 58 straipsnio 2 dalį.
4. Vis dėlto EDAPP rekomenduoja BPV užtikrinti, kad būsimose su teise būti išklausytam susijusiose procedūrose jo privatumo pareiškimai apimtų asmens duomenų tvarkymą tiek registracijos, tiek konsultacijų etape ir kad į juos būtų įtraukti visi galimi surinktos informacijos gavėjai, siekiant visapusiškai paisyti prievolės informuoti duomenų subjektus pagal [Reglamento 2018/1725] 15 straipsnį.“
Šalių reikalavimai
33 Patikslinusi savo reikalavimus BPV Bendrojo Teismo prašo:
– panaikinti peržiūrėtą sprendimą,
– pripažinti pirminį sprendimą neteisėtu,
– priteisti iš EDAPP bylinėjimosi išlaidas.
34 EDAPP Bendrojo Teismo prašo:
– atmesti ieškinį,
– priteisti iš BPV bylinėjimosi išlaidas.
Dėl teisės
Dėl antrojo reikalavimo, kuriuo siekiama, kad Bendrasis Teismas „pripažintų pirminį sprendimą neteisėtu“
35 Šiuo atveju šalys sutaria, kad peržiūrėtu sprendimu buvo panaikintas ir pakeistas pirminis sprendimas.
36 EDAPP tvirtina, kad dėl šios priežasties reikalavimas, susijęs su pirminiu sprendimu, yra nepriimtinas.
37 BPV teigia išsauganti suinteresuotumą, kad būtų konstatuoti procedūriniai pažeidimai, dėl kurių buvo priimtas pirminis sprendimas, t. y. jos teisės į gynybą ir teisės susipažinti su bylos medžiaga pažeidimai, kad jie nepasikartotų būsimose procedūrose. Atsakydama į proceso organizavimo priemonę ji patikslino, kad antruoju reikalavimu ji prašo ne panaikinti pirminį sprendimą, nes jis buvo panaikintas ir pakeistas ex tunc peržiūrėtu sprendimu, o pripažinti jį neteisėtu.
38 Taigi reikia konstatuoti, kad antruoju reikalavimu BPV siekia, kad būtų priimtas deklaratyvus sprendimas, o ne kad būtų panaikintas aktas.
39 Vis dėlto pakanka priminti, kad, kaip matyti iš suformuotos jurisprudencijos, Bendrasis Teismas, vykdydamas teisėtumo kontrolę pagal SESV 263 straipsnį, neturi kompetencijos priimti deklaratyvių sprendimų (žr. 2009 m. vasario 4 d. Sprendimo Omya / Komisija, T‑145/06, EU:T:2009:27, 23 punktą ir jame nurodytą jurisprudenciją ir 2018 m. rugsėjo 13 d. Sprendimo DenizBank / Taryba, T‑798/14, EU:T:2018:546, 135 punktą ir jame nurodytą jurisprudenciją).
40 Darytina išvada, kad antrasis BPV reikalavimas, kuriuo siekiama, kad Bendrasis Teismas „pripažintų pirminį sprendimą neteisėtu“, turi būti atmestas dėl to, kad Bendrasis Teismas neturi jurisdikcijos jo nagrinėti.
Dėl pirmojo reikalavimo, kuriuo siekiama, kad būtų panaikintas peržiūrėtas sprendimas, priimtinumo
41 Ieškinio priimtinumo sąlygos priskirtinos prie su viešąja tvarka susijusių nepriimtinumo pagrindų, kuriuos Sąjungos Teisingumo Teismas gali bet kada taikyti savo iniciatyva (žr. 2022 m. kovo 16 d. Sprendimo MEKH ir FGSZ / ACER, T‑684/19 ir T‑704/19, EU:T:2022:138, 29 punktą ir jame nurodytą jurisprudenciją, taip pat šiuo klausimu žr. 1993 m. kovo 24 d. Sprendimo CIRFS ir kt. / Komisija, C‑313/90, EU:C:1993:111, 23 punktą). Taikydamas proceso organizavimo priemones Bendrasis Teismas šalių, be kita ko, klausė, ar peržiūrėtas sprendimas yra aktas, dėl kurio galima pareikšti ieškinį pagal SESV 263 straipsnį.
42 Atsakydamas į šį klausimą EDAPP nurodė, kad nepakanka aplinkybės, jog peržiūrėtame sprendime išdėstyta jo galutinė pozicija ir konstatuotas pažeidimas, kad jis būtų laikomas aktu, dėl kurio galima pareikšti ieškinį. Būtina, kad dėl šios pozicijos pasikeistų BPV teisinė padėtis. Kadangi priimdamas peržiūrėtą sprendimą EDAPP nepasinaudojo savo taisomaisiais įgaliojimais, numatytais Reglamento 2018/1725 58 straipsnyje, jis gali būti laikomas nesukeliančiu teisinių pasekmių teisminės peržiūros pagal SESV 263 straipsnį tikslais.
43 Atsakyme į tą patį klausimą BPV teigia, kad peržiūrėtas sprendimas sukelia teisinių pasekmių, galinčių paveikti jos interesus.
44 Iš jurisprudencijos matyti, kad fiziniai ar juridiniai asmenys, remdamiesi SESV 263 straipsnio ketvirta pastraipa, gali ginčyti tik privalomų padarinių sukeliančius teisės aktus, kurie gali turėti įtakos jų interesams ir iš esmės pakeisti jų teisinę padėtį. Be to, priemonės, kuriomis galutinai nustatoma Sąjungos institucijos, įstaigos ar agentūros pozicija pasibaigus administracinei procedūrai ir kuriomis siekiama sukelti privalomų teisinių pasekmių, darančių įtakos ieškovo interesams, iš principo pripažintinos aktais, dėl kurių galima pareikšti ieškinį, išskyrus tarpines priemones, kuriomis siekiama parengti galutinį sprendimą ir kuriomis tokių pasekmių nesukeliama (žr. 2020 m. birželio 25 d. Sprendimo SATKEN / Komisija, C‑14/19 P, EU:C:2020:492, 69 ir 70 punktus ir juose nurodytą jurisprudenciją bei 2021 m. gegužės 6 d. Sprendimo ABLV Bank ir kt. / ECB, C‑551/19 P ir C‑552/19 P, EU:C:2021:369, 39 punktą ir jame nurodytą jurisprudenciją).
45 Siekiant nustatyti, ar ginčijamas aktas sukelia tokių pasekmių, reikia remtis šio akto esme ir įvertinti šiuos padarinius pagal objektyvius kriterijus, kaip antai minėto akto turinį, prireikus atsižvelgiant į jo priėmimo aplinkybes ir jį priėmusios Sąjungos institucijos, įstaigos ar agentūros įgaliojimus (žr. 2021 m. balandžio 22 d. Sprendimo thyssenkrupp Electrical Steel ir thyssenkrupp Electrical Steel Ugo / Komisija, C‑572/18 P, EU:C:2021:317, 48 punktą ir jame nurodytą jurisprudenciją; 2021 m. gegužės 6 d. Sprendimo ABLV Bank ir kt. / ECB, C‑551/19 P ir C‑552/19 P, EU:C:2021:369, 41 punktą ir jame nurodytą jurisprudenciją ir 2021 m. spalio 6 d. Sprendimo Tognoli ir kt. / Parlamentas, C‑431/20 P, EU:C:2021:807, 34 punktą ir jame nurodytą jurisprudenciją).
46 Pirma, reikėtų priminti, kad peržiūrėtą sprendimą EDAPP priėmė gavęs BPV prašymą peržiūrėti pirminį sprendimą. Peržiūrėtu sprendimu, priimtu pasibaigus rungimosi principu grindžiamai administracinei procedūrai, panaikintas ir pakeistas pirminis sprendimas, tai yra sprendimas, kuriuo galutinai nustatoma EDAPP pozicija dėl penkių skundų.
47 Reglamento 2018/1725 64 straipsnio 2 dalyje, susijusioje su teise į veiksmingą teisminę gynybą, numatyta, kad EDAPP sprendimus galima apskųsti Europos Sąjungos Teisingumo Teismui.
48 Visų pirma EDAPP darbo tvarkos taisyklių 18 straipsnio, kuriuo remiantis buvo priimtas peržiūrėtas sprendimas, 3 dalyje, be kita ko, nustatyta:
„Jei, gavęs prašymą peržiūrėti savo sprendimą dėl skundo, EDAPP paskelbia naują pakeistą sprendimą, EDAPP informuoja skundo pateikėją ir suinteresuotą instituciją, kad jie gali apskųsti šį naują sprendimą Europos Sąjungos Teisingumo Teisme pagal [SESV] 263 straipsnį.“
49 Šiuo klausimu BPV išsiųstame rašte, pridėtame prie peržiūrėto sprendimo, nurodyta:
„Atkreipkite dėmesį į tai, kad šiuo sprendimu panaikinamas ir pakeičiamas 2020 m. birželio 24 d. priimtas sprendimas. Per du mėnesius nuo šio sprendimo priėmimo dienos ir laikydamiesi [SESV] 263 straipsnyje nustatytų sąlygų galite pareikšti ieškinį dėl šio sprendimo panaikinimo Europos Sąjungos Teisingumo Teisme.“
50 Antra, dėl peržiūrėto sprendimo esmės reikia priminti, kad EDAPP padarė išvadą, jog BPV pažeidė Reglamento 2018/1725 15 straipsnio 1 dalies d punkte numatytą pareigą informuoti, ir kad iš esmės rekomendavo BPV rengiant būsimus privatumo pareiškimus nekartoti tokio pažeidimo.
51 Visų pirma reikia pažymėti, kad pagal Reglamento 2018/1725 65 straipsnį dėl tokio pažeidimo gali kilti BPV, kaip atitinkamų duomenų valdytojos, atsakomybė, jeigu laikomasi kitų Sutartyse numatytų sąlygų.
52 Be to, pagal Reglamento 2018/1725 66 straipsnio 1 dalį EDAPP, spręsdamas, ar skirti administracinę baudą Sąjungos institucijai ar organui, ir nustatydamas tokios baudos dydį, atsižvelgia, be kita ko, į bet kokį panašų anksčiau tos institucijos ar organo padarytą pažeidimą. Taigi, jeigu BPV nesilaikytų EDAPP rekomendacijos ateityje keisti privatumo pareiškimus, vykstant procedūroms, susijusioms su teise būti išklausytam, būtų galima konstatuoti panašų BPV padarytą Reglamento 2018/1725 15 straipsnio 1 dalies d punkto pažeidimą ir skirti baudą.
53 Darytina išvada, kad peržiūrėtame sprendime padaryta išvada, jog BPV pažeidė Reglamento 2018/1725 15 straipsnio 1 dalies d punktą, sukelia privalomų teisinių pasekmių, nors EDAPP nurodė, kad atsisako savo įgaliojimų imtis taisomųjų veiksmų, numatytų Reglamento 2018/1725 58 straipsnio 2 dalyje.
54 Atsižvelgiant į tai, kas išdėstyta, pažymėtina, kad peržiūrėtas sprendimas yra Sąjungos aktas, galintis daryti poveikį jo adresato interesams, nes iš esmės keičia jo teisinę padėtį. Taigi tai yra aktas, dėl kurio galima pareikšti ieškinį, kaip tai suprantama pagal SESV 263 straipsnį.
55 Vadinasi, reikia konstatuoti, kad pirmasis reikalavimas panaikinti peržiūrėtą sprendimą yra priimtinas.
Dėl esmės
56 Grįsdama ieškinį BPV nurodo du pagrindus. Pirmasis pagrindas grindžiamas Reglamento 2018/1725 3 straipsnio 1 punkto pažeidimu, nes Deloitte perduota informacija nėra asmens duomenys. Antrasis pagrindas grindžiamas Chartijos 41 straipsnyje įtvirtintos teisės į gerą administravimą pažeidimu.
57 Nurodydama pirmąjį pagrindą BPV teigia, kad EDAPP pažeidė Reglamento 2018/1725 3 straipsnio 1 punktą, kai peržiūrėtame sprendime nustatė, jog Deloitte perduota informacija yra skundo pareiškėjų asmens duomenys.
58 Reglamento 2018/1725 3 straipsnio 1 punkte asmens duomenys apibrėžiami kaip „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti (toliau – duomenų subjektas); fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę tiesiogiai arba netiesiogiai galima nustatyti, visų pirma pagal identifikatorių, kaip antai vardą ir pavardę, asmens identifikavimo numerį, buvimo vietos duomenis ir interneto identifikatorių arba pagal vieną ar kelis to fizinio asmens fizinės, fiziologinės, genetinės, psichinės, ekonominės, kultūrinės ar socialinės tapatybės požymius“.
59 Iš šios apibrėžties matyti, kad informacija yra asmens duomenys, be kita ko, jeigu įvykdytos dvi kumuliacinės sąlygos, t. y. pirma, ši informacija turi būti „apie“ fizinį asmenį ir, antra, šio asmens tapatybė „nustatyta arba kurio [jo] tapatybę galima nustatyti“.
Dėl Reglamento 2018/1725 3 straipsnio 1 punkte numatytos sąlygos, kad informacija turi būti „apie“ fizinį asmenį
60 BPV teigia, kad vykstant konsultacijų etapui gauti ir Deloitte perduoti komentarai nebuvo susiję su konkrečiais asmenimis, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 dalį. Ji mano, kad 2017 m. gruodžio 20 d. Sprendime Nowak (C‑434/16, EU:C:2017:994) pateikti argumentai netaikomi pareiškėjų komentarams. Ji teigia, kad pareiškėjų komentaruose pateikta informacija yra faktinė ir teisinė informacija, nepriklausanti nuo asmenų ar pareiškėjų asmeninių savybių ir nesusijusi su jų privačiu gyvenimu. Ji teigia, kad teisės būti išklausytam procedūros tikslas buvo įvertinti daugelio suinteresuotųjų šalių, kurių asmenybė ir tapatybė nebuvo svarbi vertinant jų komentarus, pateiktus faktinius ir teisinius argumentus, susijusius su preliminariu sprendimu ir 3-iuoju vertinimu.
61 EDAPP teigia, kad poveikį patiriančių akcininkų ir kreditorių komentarų turinys yra informacija „apie“ juos, nes atsakymuose buvo pateikta ir atspindėta jų asmeninė nuomonė, nors atsakymai buvo grindžiami viešai prieinama informacija. Pareiškėjų ir kitų dalyvių atsakymai į formoje pateiktus klausimus yra asmens duomenys, neatsižvelgiant į tai, ar jais išreiškiama originali nuomonė, ar nuomonė, kuria dalijamasi su kitais, ir neatsižvelgiant į tai, ar BPV mano, kad tai yra informacija, nepriklausanti nuo poveikį patiriančių akcininkų ir kreditorių konkrečių teisių į privatumą.
62 EDAPP taip pat tvirtina, kad komentarai yra asmens duomenys dėl jų daromo poveikio. Šių komentarų vertinimas, kuriuo siekta patikrinti 3-iojo vertinimo ir preliminaraus sprendimo teisėtumą, galėjo turėti įtakos dalyvių interesams ir teisėms finansinės kompensacijos srityje. Galiausiai jis tvirtina, kad komentarų rinkimo tikslas buvo suteikti kiekvienai šaliai procedūrines teises, kad būtų galima sužinoti individualias nuomones.
63 Peržiūrėtame sprendime EDAPP nurodė, kad vykstant konsultacijų etapui gauti atsakymai yra pareiškėjų asmens duomenys, nes juose pateikta asmeninė nuomonė, todėl tai yra informacija apie juos, net jei, siekiant pareikšti savo nuomonę, tokie atsakymai buvo grindžiami viešai prieinama informacija. Jis nusprendė, kad tai, jog pareiškėjai išreiškė panašias, tačiau su kitų dalyvių požiūriais nesutampančias nuomones, nereiškia, kad jų atsakymai neatspindi jų pačių nuomonės. Todėl EDAPP laikėsi nuomonės, kad visi pareiškėjų ir kitų dalyvių laisvo teksto laukeliuose pateikti atsakymai turėtų būti laikomi asmens duomenimis, nepriklausomai nuo to, ar jais išreiškiama originali ir unikali nuomonė, ar nuomonė, sutampanti su kitų nuomone arba grindžiama viešai prieinama informacija. Jis pridūrė, kad šios išvados nepaneigia 2017 m. gruodžio 20 d. Sprendimas Nowak (C‑434/16, EU:C:2017:994), kuriame Teisingumo Teismas nedarė skirtumo tarp pačių respondentų parengtų atsakymų ir atsakymų, grindžiamų kitais žinių šaltiniais.
64 Reikia išnagrinėti, ar EDAPP galėjo pagrįstai manyti, kad Deloitte perduota informacija yra „apie“ fizinį asmenį, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą.
65 Pirmiausia reikia konstatuoti, kad peržiūrėtame sprendime EDAPP visus konsultacijų etape pateiktus poveikį patyrusių akcininkų ir kreditorių komentarus kvalifikavo kaip asmens duomenis ir savo vertinimo neapribojo vien Deloitte perduota informacija.
66 Kadangi peržiūrėtame sprendime konstatuotas Reglamento 2018/1725 15 straipsnio 1 dalies d punkto pažeidimas susijęs tik su tuo, kad privatumo pareiškime BPV nenurodė, jog Deloitte bus potenciali tam tikrų duomenų gavėja, reikia tik išnagrinėti, ar Deloitte perduota informacija yra asmens duomenys, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą.
67 Šiuo klausimu Reglamento 2018/1725 3 straipsnio 13 punkte „duomenų gavėjas“ apibrėžiamas kaip „fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kita įstaiga, kuriai atskleidžiami asmens duomenys, nesvarbu, ar tai trečioji šalis, ar ne.“
68 Pagal jurisprudenciją frazės „bet kuri informacija“ vartojimas apibrėžiant sąvoką „asmens duomenys“, įtvirtintą Reglamento 2018/1725 3 straipsnio 1 punkte, atspindi Sąjungos teisės akto leidėjo tikslą šiai sąvokai suteikti plačią reikšmę, – ji reiškia ne tik neskelbtiną arba asmeninio pobūdžio informaciją, bet galimai apima bet kokią informaciją, tiek objektyvią, tiek subjektyvią, pranešimo ar vertinimo forma su sąlyga, kad ji yra „apie“ suinteresuotąjį asmenį (pagal analogiją žr. 2017 m. gruodžio 20 d. Sprendimo Nowak, C‑434/16, EU:C:2017:994, 34 punktą).
69 Dėl šios paskutinės sąlygos Teisingumo Teismas yra nusprendęs, kad ji yra tenkinama, jeigu informacija, atsižvelgiant į jos turinį, tikslą ir poveikį, susijusi su konkrečiu asmeniu (2017 m. gruodžio 20 d. Sprendimo Nowak, C‑434/16, EU:C:2017:994, 35 punktas).
70 Vis dėlto peržiūrėtame sprendime EDAPP nenagrinėjo nei Deloitte perduotos informacijos turinio, nei jos tikslo ar poveikio.
71 Iš tiesų jis tik nurodė, kad vykstant konsultacijų etapui pareiškėjų pateikti komentarai atspindi jų nuomonę ar požiūrį, ir remdamasis vien šiuo pagrindu padarė išvadą, kad tai yra informacija apie pareiškėjus, o to pakanka, kad ji būtų laikomi asmens duomenimis.
72 Per posėdį EDAPP patvirtino manantis, kad bet kokia asmeninė nuomonė yra asmens duomenys. Jis taip pat pripažino, kad nenagrinėjo vykstant konsultacijų etapui pareiškėjų pateiktų komentarų turinio.
73 Žinoma, negalima atmesti galimybės, kad asmeninė nuomonė ar požiūris yra asmens duomenys. Vis dėlto iš šio sprendimo 68 ir 69 punktuose minėtų 2017 m. gruodžio 20 d. Sprendimo Nowak (C‑434/16, EU:C:2017:994) 34 ir 35 punktų matyti, kad tokia išvada negali būti grindžiama prezumpcija, aprašyta šio sprendimo 71 ir 72 punktuose, bet turi būti grindžiama tyrimu, kuriuo siekiama nustatyti, ar dėl savo turinio, tikslo ar poveikio tam tikra nuomonė yra susijusi su konkrečiu asmeniu.
74 Darytina išvada, kad, neatlikęs tokio nagrinėjimo, EDAPP negalėjo padaryti išvados, kad Deloitte perduota informacija yra informacija, „apie“ fizinį asmenį, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą.
75 Toliau Bendrasis Teismas išnagrinės EDAPP vertinimą dėl to, ar Deloitte perduota informacija buvo susijusi su fiziniu asmeniu, kurio asmens tapatybė „nustatyta arba gali būti nustatyta“.
Dėl Reglamento 2018/1725 3 straipsnio 1 punkte numatytos sąlygos, kad informacija turi būti susijusi su fiziniu asmeniu, kurio tapatybė yra „nustatyta arba gali būti nustatyta“
76 BPV teigia, kad, priešingai, nei nusprendė EDAPP, tai, kad Deloitte buvo perduotas raidinis skaitmeninis kodas, nereiškia, kad duomenims buvo suteikti pseudonimai. Tokie duomenys liko anoniminiai, nes BPV nepasidalijo su Deloitte informacija, kuri leistų iš naujo nustatyti komentarų autorių.
77 BPV teigia, kad duomenys trečiajai šaliai yra anoniminiai, net jei informacija, leidžianti pakartotinai nustatyti tapatybę, nėra neatšaukiamai pašalinta, o ją saugo pradinis duomenų tvarkytojas, nes forma, kuria duomenys perduodami šiai trečiajai šaliai, nebeleidžia nustatyti komentarų autoriaus tapatybės arba tai tampa mažai tikėtina. BPV teigia, kad, priešingai, nei peržiūrėtame sprendime nurodė EDAPP, pagal Reglamentą 2018/1725 ir Teisingumo Teismo jurisprudenciją reikalaujama įvertinti riziką, kad tapatybė bus nustatyta pakartotinai.
78 Konkrečiau kalbant, BPV teigia, kad Teisingumo Teismo jurisprudencijoje nustatytos sąlygos dėl pakartotinio tapatybės nustatymo rizikos, kai visą informaciją, galinčią padėti nustatyti tapatybę, turi ne vienas asmuo, o kelios šalys, šiuo atveju nėra įvykdytos. Pirma, individualiems komentarams priskirtas raidinis skaitmeninis kodas neleidžia Deloitte iš naujo nustatyti komentarus pateikusių asmenų tapatybės. Reglamento 2018/1725 3 straipsnio 6 punkte nurodytą papildomą informaciją sudaro duomenų, leidžiančių dekoduoti, bazė, su kuria gali susipažinti tik BPV. Antra, kiek tai susiję su kriterijumi dėl pagrįstos tikimybės, kad informacija bus sujungta, Deloitte neturėjo ir vis dar neturi teisėtų priemonių susipažinti su papildoma informacija ir informacija, leidžiančia nustatyti tapatybę.
79 EDAPP teigia, kad tai, jog Deloitte neturėjo galimybės susipažinti su BPV turima informacija, leidžiančia nustatyti tapatybę, nereiškia, kad Deloitte perduoti duomenys, kuriems suteikti pseudonimai, tapo anoniminiais duomenimis. Nebūtina nustatyti, ar Deloitte perduotos informacijos autorių tapatybę buvo galima pakartotinai nustatyti ir ar toks pakartotinis tapatybės nustatymas buvo pagrįstai tikėtinas. Duomenys, kuriems suteikti pseudonimai, tokie ir lieka net ir tuo atveju, kai jie perduodami trečiajai šaliai, neturinčiai papildomos informacijos.
80 EDAPP teigia, kad žodžio „netiesiogiai“ vartojimas Reglamento 2018/1725 3 straipsnio 1 punkte reiškia, jog tam, kad informacija būtų laikoma asmens duomenimis, nebūtina, kad ji pati leistų identifikuoti duomenų subjektą. Be to, kalbant apie priemones, kuriomis pagrįstai gali naudotis ir duomenų valdytojas, ir bet kuris kitas asmuo, nereikalaujama, kad visą informaciją, leidžiančią nustatyti duomenų subjekto tapatybę, turėtų vienas asmuo.
81 Peržiūrėtame sprendime EDAPP konstatavo, kad Deloitte perduota informacija yra duomenys, kuriems suteikti pseudonimai. Šiuo klausimu jis nurodė, kad duomenys, kuriems suteikti pseudonimai, ir anoniminiai duomenys skiriasi tuo, kad anoniminių duomenų atveju nėra „papildomos informacijos“, kuri galėtų būti naudojama duomenims priskirti konkrečiam duomenų subjektui, o duomenų, kuriems suteikti pseudonimai, atveju tokia papildoma informacija egzistuoja. Vadinasi, siekiant įvertinti, ar duomenys buvo anoniminiai, ar jiems buvo suteikti pseudonimai, reikėjo išnagrinėti, ar buvo „papildomos informacijos“, kurią būtų galima naudoti, siekiant duomenis priskirti konkretiems duomenų subjektams.
82 EDAPP pažymėjo, kad BPV perdavė Deloitte ne tik tam tikrus poveikį patiriančių akcininkų ir kreditorių komentarus, bet ir atitinkamą raidinį skaitmeninį kodą, tačiau Deloitte neturėjo galimybės susipažinti su atsakymais, pateiktais registracijos etape. Jis nurodė, kad, kaip paaiškino BPV: „Deloitte, remdamasi konkrečiais duomenimis, kuriuos pateikė reikalavimus atitinkančios šalys registracijos etape, negalėjo nustatyti visų šalių, naudojančių šį kodą, tapatybės (ją visada saugojo BPV)“. Vis dėlto EDAPP laikėsi nuomonės, kad registracijos etape pateikti duomenys ir unikalus identifikatorius, t. y. raidinis skaitmeninis kodas, priskirtas kiekvienam reikalavimus atitinkančiam dalyviui, yra puikus „papildomos informacijos“, kaip ji suprantama pagal Reglamento 2018/1725 3 straipsnio 6 punktą, pavyzdys, nes BPV galėjo juos naudoti, kad priskirtų duomenis konkrečiam duomenų subjektui.
83 EDAPP paaiškino: Reglamente 2018/1725 nedaromas skirtumas tarp subjektų, saugojančių duomenis, kuriems suteikti pseudonimai, ir subjektų, turinčių papildomos informacijos, o aplinkybė, kad tai yra skirtingi subjektai, neleidžia daryti išvados, kad duomenys, kuriems suteikti pseudonimai, tampa anoniminiai. Jis pridūrė, jog tai, kad Deloitte pati negalėjo susieti komentarų su registracijos etape gautais duomenimis, nepaneigia fakto, kad jos gauti duomenys yra duomenys, kuriems suteikti pseudonimai. Duomenys, kuriais BPV dalijosi su Deloitte, EDAPP nuomone, yra duomenys, kuriems suteikti pseudonimai, nes konsultacijų etape gauti komentarai yra asmens duomenys, be to, BPV dalijosi raidiniu skaitmeniniu kodu, kuris leido susieti registracijos etape pateiktus atsakymus su konsultacijų etape pateiktais atsakymais, nors dalyvių pateikti duomenys, kad būtų nustatyta jų tapatybė registracijos etape, nebuvo perduoti Deloitte. Jis padarė išvadą, kad Deloitte perduota informacija yra duomenys, kuriems suteikti pseudonimai, taigi asmens duomenys, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą.
84 Pirmiausia reikia pažymėti, kad, atsižvelgiant į BPV nustatytus duomenų, surinktų per procedūrą dėl teisės būti išklausytam, tvarkymo mechanizmus, aprašytus šio sprendimo 14–24 punktuose, informacija, perduota Deloitte, nebuvo susijusi su asmenimis, kurių tapatybė nustatyta.
85 Taigi reikia išnagrinėti, ar EDAPP galėjo pagrįstai manyti, kad Deloitte perduota informacija buvo susijusi su fiziniu asmeniu, „kurio tapatybė gali būti nustatyta“, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą.
86 Pagal šią nuostatą fizinis asmuo, kurio tapatybę galima nustatyti, yra asmuo, kurio tapatybę galima nustatyti tiesiogiai ar netiesiogiai.
87 Reglamento 2018/1725 16 konstatuojamojoje dalyje numatyta:
„<…> Asmens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui, pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta. Sprendžiant, ar galima nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visas priemones, pavyzdžiui, išskyrimą, kurias asmens tapatybei tiesiogiai ar netiesiogiai nustatyti, pagrįstai tikėtina, galėtų naudoti duomenų valdytojas ar kitas asmuo. Įsitikinant, ar tam tikros priemonės, pagrįstai tikėtina, galėtų būti naudojamos, siekiant nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, sąnaudas ir laiko trukmę, kurių prireiktų tapatybei nustatyti, turint omenyje duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą <…>“
88 Reikia pažymėti, kad 2016 m. spalio 19 d. Sprendime Breyer (C‑582/14, EU:C:2016:779) Teisingumo Teismas aiškino asmens duomenų sąvoką, kaip ji suprantama pagal 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355) 2 straipsnio a punktą, kuriame įtvirtinta Reglamento 2018/1725 3 straipsnio 1 punktui lygiavertė nuostata.
89 Toje byloje buvo keliamas klausimas, ar dinaminis interneto protokolo adresas (toliau – IP adresas) yra asmens duomenys elektroninių paslaugų teikėjo, kuris jį užregistravo, požiūriu. Teisingumo Teismas nusprendė, kad reikia patikrinti, ar šį IP adresą galima laikyti informacija, susijusia su „fiziniu asmeniu, kurio tapatybę galima nustatyti“, atsižvelgiant, pirma, į tai, kad jis pats savaime nesuteikė šiam teikėjui galimybės nustatyti interneto svetainėje apsilankiusio naudotojo tapatybės, ir, antra, į tai, kad interneto prieigos teikėjas turi papildomos būtinos informacijos, kuri, jeigu būtų susieta su šiuo IP adresu, leistų nustatyti minėto naudotojo tapatybę.
90 Kadangi Reglamento 2018/1725 16 konstatuojamojoje dalyje nurodytos priemonės, kuriomis gali pasinaudoti duomenų valdytojas ar „kitas asmuo“, remiantis jos formuluote galima manyti, jog tam, kad duomenys būtų laikomi „asmens duomenimis“, kaip jie suprantami pagal Reglamento 2018/1725 3 straipsnio 1 punktą, nereikalaujama, kad visą informaciją, leidžiančią nustatyti atitinkamo asmens tapatybę, turėtų vienas asmuo (pagal analogiją žr. 2016 m. spalio 19 d. Sprendimo Breyer, C‑582/14, EU:C:2016:779, 43 punktą).
91 Vis dėlto Teisingumo Teismas pridūrė, jog dėl to, kad papildomos informacijos, būtinos interneto puslapio naudotojo tapatybei nustatyti, turi ne elektroninių paslaugų teikėjas, o šio naudotojo interneto prieigos teikėjas, negalima atmesti galimybės, kad elektroninių paslaugų teikėjo išsaugoti dinaminiai IP adresai jo atžvilgiu yra asmens duomenys (2016 m. spalio 19 d. Sprendimo Breyer, C‑582/14, EU:C:2016:779, 44 punktas).
92 Teisingumo Teismas nusprendė, kad vis dėlto reikia nustatyti, ar galimybė susieti dinaminį IP adresą su tokia interneto prieigos teikėjo turima papildoma informacija yra priemonė, kuria galima pasinaudoti atitinkamo asmens tapatybei nustatyti (2016 m. spalio 19 d. Sprendimo Breyer, C‑582/14, EU:C:2016:779, 45 punktas).
93 Teisingumo Teismas nurodė, kad taip nebūtų tuo atveju, jeigu nustatyti atitinkamo asmens tapatybę būtų draudžiama pagal įstatymą arba praktiškai neįmanoma, nes, pavyzdžiui, tai reikalautų neproporcingai daug laiko ir žmogiškųjų bei ekonominių išteklių, todėl tapatybės nustatymas faktiškai būtų nereikšmingas (2016 m. spalio 19 d. Sprendimo Breyer, C‑582/14, EU:C:2016:779, 46 punktas).
94 Nagrinėjamu atveju neginčijama, kad, pirma, vien remiantis Deloitte perduotoje informacijoje esančiu raidiniu skaitmeniniu kodu nebuvo galima nustatyti komentarų autorių tapatybės ir, antra, Deloitte neturėjo prieigos prie tapatybės nustatymo duomenų, gautų registracijos etape ir leidžiančių susieti dalyvius su jų komentarais, naudojant raidinį skaitmeninį kodą.
95 Peržiūrėtame sprendime EDAPP nurodė ir per teismo posėdį patvirtino, kad papildoma informacija, reikalinga komentarų autorių tapatybei nustatyti, yra raidinis skaitmeninis kodas ir tapatybės nustatymo duomenų bazė.
96 Žinoma, kaip teigia EDAPP, atsižvelgiant į šio sprendimo 90 punkte minėto 2016 m. spalio 19 d. Sprendimo Breyer (C‑582/14, EU:C:2016:779) 43 punktą, tai, kad papildomą informaciją, reikalingą konsultacijų etape gautų komentarų autorių tapatybei nustatyti, turėjo ne Deloitte, o BPV, a priori negali paneigti, kad Deloitte perduota informacija yra asmens duomenys.
97 Vis dėlto iš 2016 m. spalio 19 d. Sprendimo Breyer (C‑582/14, EU:C:2016:779) taip pat matyti, kad siekiant nustatyti, ar Deloitte perduota informacija yra asmens duomenys, žvelgiant iš jos perspektyvos reikia nustatyti, ar perduota informacija susijusi su „asmenimis, kurių tapatybę galima nustatyti“.
98 Iš tiesų reikia priminti, pirma, kad Reglamento 2018/1725 15 straipsnio 1 dalies d punkto pažeidimas, kurį EDAPP konstatavo peržiūrėtame sprendime, susijęs su BPV atliktu tam tikrų komentarų perdavimu Deloitte, o ne vien su aplinkybe, kad BPV juos turėjo.
99 Antra, Deloitte situacija gali būti lyginama su 2016 m. spalio 19 d. Sprendime Breyer (C‑582/14, EU:C:2016:779) nagrinėta elektroninių paslaugų teikėjo internetu situacija: ji turėjo informacijos, t. y. 3-iojo vertinimo komentarų, kuri nebuvo susijusi su „fiziniu asmeniu, kurio tapatybė nustatyta“, nes kiekviename atsakyme nurodytas raidinis skaitmeninis kodas neleido tiesiogiai atskleisti formą užpildžiusio fizinio asmens tapatybės. Be to, BPV situacija gali būti lyginama su interneto prieigos teikėjo situacija toje byloje, nes neginčijama, kad ji vienintelė turėjo papildomos informacijos, leidžiančios nustatyti formą užpildžiusių poveikį patyrusių akcininkų ir kreditorių tapatybę, t. y. raidinį skaitmeninį kodą ir tapatybės nustatymo duomenų bazę.
100 Taigi pagal šio sprendimo 91 punkte minėto 2016 m. spalio 19 d. Sprendimo Breyer (C‑582/14, EU:C:2016:779) 44 punktą EDAPP turėjo išnagrinėti, ar Deloitte perduoti komentarai jos atžvilgiu yra asmens duomenys.
101 EDAPP klaidingai teigia, kad nereikėjo aiškintis, ar Deloitte perduotos informacijos autorių tapatybė galėjo būti pakartotinai nustatyta ir ar toks pakartotinis nustatymas buvo pagrįstai įmanomas.
102 Reikia konstatuoti, kad peržiūrėtame sprendime EDAPP nustatė, jog aplinkybės, kad BPV turėjo papildomos informacijos, leidžiančios iš naujo nustatyti komentarų autorių tapatybę, pakako, kad būtų galima daryti išvadą, jog Deloitte perduota informacija yra asmens duomenys, ir pripažino, kad registracijos etape gauti tapatybės nustatymo duomenys nebuvo perduoti Deloitte.
103 Taigi iš peržiūrėto sprendimo matyti, kad EDAPP išnagrinėjo galimybę iš naujo nustatyti komentarus pateikusių asmenų tapatybę tik BPV, o ne Deloitte požiūriu.
104 Iš šio sprendimo 92 punkte minėto 2016 m. spalio 19 d. Sprendimo Breyer (C‑582/14, EU:C:2016:779) 45 punkto matyti, kad EDAPP turėjo nustatyti, ar galimybė Deloitte perduotą informaciją susieti su BPV turima papildoma informacija yra priemonė, kurios Deloitte galėjo pagrįstai imtis, kad nustatytų komentarų autorių tapatybę.
105 Vadinasi, kadangi EDAPP nepatikrino, ar Deloitte turėjo teisėtų ir praktiškai įgyvendinamų priemonių, leidžiančių jai susipažinti su papildoma informacija, būtina komentarų autorių tapatybei nustatyti, jis negalėjo daryti išvados, kad Deloitte perduota informacija yra informacija, susijusi su „fiziniu asmeniu, kurio tapatybę galima nustatyti“, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą.
106 Iš viso to, kas išdėstyta, matyti, kad pirmąjį ieškinio pagrindą reikia pripažinti pagrįstu, taigi panaikinti peržiūrėtą sprendimą, nesant reikalo nagrinėti antrojo ieškinio pagrindo.
Dėl bylinėjimosi išlaidų
107 Pagal Bendrojo Teismo procedūros reglamento 134 straipsnio 1 dalį iš pralaimėjusios šalies priteisiamos bylinėjimosi išlaidos, jei laimėjusi šalis to reikalavo.
108 Kadangi EDAPP iš esmės pralaimėjo bylą, jis turi padengti bylinėjimosi išlaidas pagal BPV pateiktus reikalavimus.
Remdamasis šiais motyvais,
BENDRASIS TEISMAS (aštuntoji išplėstinė kolegija)
nusprendžia:
1. Panaikinti 2020 m. lapkričio 24 d. peržiūrėtą Europos duomenų apsaugos priežiūros pareigūno (EDAPP) sprendimą, priimtą gavus Bendros pertvarkymo valdybos (BPV) prašymą peržiūrėti 2020 m. birželio 24 d. EDAPP sprendimą dėl penkių skundų, pateiktų keleto pareiškėjų (bylos 2019‑947, 2019‑998, 2019‑999, 2019‑1000 ir 2019‑1122).
2. Atmesti likusią ieškinio dalį.
3. Priteisti iš EDAPP bylinėjimosi išlaidas.
Paskelbta 2023 m. balandžio 26 d. viešame teismo posėdyje Liuksemburge.
Parašai.