ÜLDKOHTU OTSUS (kaheksas koda laiendatud koosseisus)
26. aprill 2023(*)
Isikuandmete kaitse – Aktsionäridele ja võlausaldajatele hüvitise maksmise menetlus pärast krediidiasutuse kriisilahendust – Euroopa Andmekaitseinspektori otsus, milles on tuvastatud, et kriisilahendusnõukogu on rikkunud isikuandmete töötlemisega seotud kohustusi – Määruse (EL) 2018/1725 artikli 15 lõike 1 punkt d – Mõiste „isikuandmed“ – Määruse 2018/1725 artikli 3 punkt 1 – Õigus toimikuga tutvuda
Kohtuasjas T‑557/20,
Ühtne Kriisilahendusnõukogu, esindajad: H. Ehlers, M. Fernández Rupérez, A. Lapresta Bienz, keda abistasid avocats H.‑G. Kamann, M. Braun, F. Louis ja L. Hesse,
hageja,
versus
Euroopa Andmekaitseinspektor, esindajad: P. Candellier, X. Lareo ja T. Zerdick,
kostja,
ÜLDKOHUS (kaheksas koda laiendatud koosseisus),
koosseisus: koja president A. Kornezov, kohtunikud G. De Baere (ettekandja), D. Petrlík, K. Kecsmár ja S. Kingston,
kohtusekretär: ametnik I. Kurme,
arvestades menetluse kirjalikku osa,
arvestades 1. detsembri 2022. aasta kohtuistungil esitatut,
on teinud järgmise
otsuse
1 ELTL artikli 263 alusel esitatud hagis palub Ühtne Kriisilahendusnõukogu (edaspidi „kriisilahendusnõukogu“) esiteks tühistada Euroopa Andmekaitseinspektori 24. novembri 2020. aasta muudetud otsuse, mis võeti vastu pärast seda, kui kriisilahendusnõukogu oli esitanud taotluse vaadata uuesti läbi Euroopa Andmekaitseinspektori 24. juuni 2020. aasta otsus viie kaebuse kohta, mille olid esitanud mitu kaebajat (juhtumid 2019‑947, 2019‑998, 2019‑999, 2019‑1000 ja 2019‑1122) (edaspidi „muudetud otsus“), ja teiseks tunnistada Euroopa Andmekaitseinspektori 24. juuni 2020. aasta otsus (edaspidi „algne otsus“) õigusvastaseks.
Vaidluse taust
2 Kriisilahendusnõukogu täitevistung võttis 7. juunil 2017 Euroopa Parlamendi ja nõukogu 15. juuli 2014. aasta määruse (EL) nr 806/2014, millega kehtestatakse ühtsed eeskirjad ja ühtne menetlus krediidiasutuste ja teatavate investeerimisühingute kriisilahenduseks ühtse kriisilahenduskorra ja ühtse kriisilahendusfondi raames ning millega muudetakse määrust (EL) nr 1093/2010 (ELT 2014, L 225, lk 1), alusel vastu otsuse SRB/EES/2017/08, mis käsitleb Banco Popular Español, SA kriisilahenduse skeemi (edaspidi „kriisilahenduse skeem“).
3 Samal päeval võttis Euroopa Komisjon vastu otsuse (EL) 2017/1246, millega kinnitati kriisilahenduse skeem (ELT 2017, L 178, lk 15).
4 Asudes seisukohale, et määruse nr 806/2014 artikli 18 lõikes 1 ette nähtud tingimused olid täidetud, otsustas kriisilahendusnõukogu kriisilahenduse skeemis algatada Banco Popular Españoli (edaspidi „Banco Popular“) suhtes kriisilahendusmenetluse. Kriisilahendusnõukogu otsustas määruse nr 806/2014 artikli 21 kohaselt Banco Populari kapitaliinstrumendid alla hinnata ja konverteerida ning kohaldada määruse nr 806/2014 artikli 24 alusel ettevõtte võõrandamise vahendit aktsiate üleandmisega omandajale.
5 Banco Populari kriisilahenduse tulemusel edastas Deloitte 14. juunil 2018 kriisilahendusnõukogule erineva kohtlemise kohta määruse nr 806/2014 artikli 20 lõigetes 16–18 ette nähtud hinnangu, mille ta andis selleks, et teha kindlaks, kas aktsionäre ja võlausaldajaid oleks koheldud paremini, kui Banco Populari suhtes oleks algatatud tavaline maksejõuetusmenetlus (edaspidi „3. hinnang“).
6 Kriisilahendusnõukogu avaldas 6. augustil 2018 oma veebisaidil 2. augusti 2018. aasta teate oma eelotsuse kohta, kas on vaja anda hüvitist aktsionäridele ja võlausaldajatele seoses Banco Populari suhtes võetud kriisilahendusmeetmetega, ning arvamuse avaldamise menetluse algatamise kohta (SRB/EES/2018/132) (edaspidi „eelotsus“), ja 3. hinnangu mittekonfidentsiaalse versiooni. 7. augustil 2018 avaldati teadaanne kriisilahendusnõukogu teate kohta Euroopa Liidu Teatajas (ELT 2018, C 277 I, lk 1).
7 Kriisilahendusnõukogu märkis eelotsuses, et selleks et ta saaks teha lõpliku otsuse, kas aktsionäridele ja võlausaldajatele on vaja seoses Banco Populari kriisilahendusega anda hüvitist määruse nr 806/2014 artikli 76 lõike 1 punkti e alusel, kutsub ta neid üles väljendama huvi kasutada vastavalt Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artikli 41 lõike 2 punktile a oma õigust olla ära kuulatud.
Arvamuse avaldamise menetlus
8 Kriisilahendusnõukogu märkis eelotsuses, et arvamuse avaldamise menetlus toimub kahes etapis. Esimeses etapis (edaspidi „registreerimisetapp“) kutsuti mõjutatud aktsionäre ja võlausaldajaid üles väljendama veebipõhise registreerimisvormi abil kuni 14. septembrini 2018 huvi kasutada oma õigust olla ära kuulatud. Seejärel pidi kriisilahendusnõukogu kontrollima, kas iga huvi üles näidanud pool on tegelikult mõjutatud aktsionär või võlausaldaja. Teises etapis (edaspidi „konsulteerimisetapp“) võisid mõjutatud aktsionärid ja võlausaldajad, kelle seisundit oli kriisilahendusnõukogu kontrollinud, esitada oma kommentaarid eelotsuse kohta, millele oli lisatud 3. hinnang.
9 Registreerimisetapis pidid mõjutatud aktsionärid ja võlausaldajad, kes soovisid kasutada oma õigust olla ära kuulatud, esitama kriisilahendusnõukogule tõendi selle kohta, et kriisilahenduse kuupäeval oli neil üks või mitu Banco Populari kapitaliinstrumenti, mis kriisilahenduse raames hinnati alla või konverteeriti ja anti üle Banco Santander, SA‑le. Dokumendid, mis tuli esitada, seisnesid isikut tõendavas dokumendis ja tõendis mõne kapitaliinstrumendi omandiõiguse kohta 6. juuni 2017. aasta seisuga.
10 6. augustil 2018 ehk registreerimisetapi alguskuupäeval avaldas kriisilahendusnõukogu arvamuse avaldamise menetlusse registreerimise veebilehel ja oma veebisaidil ka konfidentsiaalsusdeklaratsiooni seoses isikuandmete töötlemisega arvamuse avaldamise menetluses (edaspidi „konfidentsiaalsusdeklaratsioon“).
11 Kriisilahendusnõukogu teatas 16. oktoobril 2018 oma veebisaidil, et alates 6. novembrist 2018 palutakse osalemiskõlblikel aktsionäridel ja võlausaldajatel esitada eelotsuse kohta oma kirjalikud kommentaarid konsulteerimisetapis.
12 Kriisilahendusnõukogu saatis 6. novembril 2018 e‑posti teel osalemiskõlblikele aktsionäridele ja võlausaldajatele ainulaadse isikliku lingi, mis võimaldas neil internetis kasutada teatud vormi (edaspidi „vorm“). Vorm sisaldas seitset küsimust koos vastamiseks mõeldud piiratud väljaga, mis võimaldas mõjutatud aktsionäridel ja võlausaldajatel esitada 26. novembriks 2018 kommentaare eelotsuse ja 3. hinnangu mittekonfidentsiaalse versiooni kohta.
13 Kriisilahendusnõukogu analüüsis mõjutatud aktsionäride ja võlausaldajate asjakohaseid kommentaare eelotsuse kohta. Ta palus Deloitte’il sõltumatu hindajana hinnata asjakohaseid kommentaare 3. hinnangu kohta, esitada talle oma hinnangut sisaldava dokumendi ja analüüsida, kas 3. hinnang on neid kommentaare arvestades jätkuvalt kehtiv.
Arvamuse avaldamise menetluses kriisilahendusnõukogu kogutud andmete töötlemine
14 Registreerimisetapis kogutud andmed, nimelt tõendid osalejate isikusamasuse ja Banco Populari alla hinnatud või konverteeritud ja üle antud kapitaliinstrumentide omandiõiguse kohta, olid kättesaadavad piiratud arvule kriisilahendusnõukogu teenistujatele, kes tegelesid nende andmete töötlemisega isikute osalemiskõlblikkuse kindlakstegemiseks.
15 Need andmed ei olnud nähtavad kriisilahendusnõukogu töötajatele, kes töötlesid kommentaare, mis saadi konsulteerimisetapis, mille käigus nad said üksnes kommentaare, mis tehti kindlaks igale vormi abil esitatud kommentaarile omistatud tähtnumbrilise koodi alusel. Tähtnumbriline kood seisnes ainulaadses 33‑kohalises universaalses identifikaatoris, mis oli vormile vastuse saamise hetkel juhuslikult loodud.
16 Esimeses etapis filtreeris kriisilahendusnõukogu automaatselt 23 822 kommentaari, millest igaüks kandis ainulaadset tähtnumbrilist koodi ja mille olid esitanud 2855 menetluses osalejat. Kaks algoritmi võimaldasid tuvastada, et 20 101 kommentaari olid identsed. Esimesena esitatud kommentaari peeti algseks kommentaariks, mis vaadati läbi analüüsietapis, ning hiljem saadud identsed kommentaarid tähistati kordustena.
17 Teises etapis, st analüüsietapis, vaatas kriisilahendusnõukogu kommentaarid läbi eesmärgiga tagada järjepidevus nende asjakohasuse hindamisel ja nende liigitamisel või kindlaksmääratud teemade alla rühmitamisel. Nii tegi kriisilahendusnõukogu kindlaks sarnased, kuid mitte identsed kommentaarid, mis põhinesid samadel allikatel, mis on internetis kättesaadavad.
18 Kommentaaride analüüsimise eest vastutanud kriisilahendusnõukogu töötajatel ei olnud juurdepääsu ei registreerimisetapis kogutud andmetele, kuna need kommentaarid olid eraldatud nende isikute isikuandmetest, kes need esitasid, ega andmevõtmele või teabele, mis võimaldanuks tuvastada osaleja isiku igale kommentaarile omistatud ainulaadse tähtnumbrilise koodi alusel.
19 Selles analüüsietapis võrdles kriisilahendusnõukogu kõiki esitatud kommentaare ja liigitas need selle vormis sisalduva küsimuse alusel, millele need vastasid. Seejärel hinnati kommentaare nende asjakohasuse alusel ja jagati need ühelt poolt nendeks, mis kuulusid arvamuse avaldamise menetluse kohaldamisalasse, kuna need võisid mõjutada eelotsust või 3. hinnangut, ja teiselt poolt nendeks, mis ei kuulunud sellesse kohaldamisalasse, kuna need puudutasid Banco Populari kriisilahenduse muid aspekte.
20 Menetluse kohaldamisalasse kuuluv kommentaar määrati seejärel ühte 15 teemast, mille kriisilahendusnõukogu oli enne kindlaks määranud. Sõltuvalt teemast, millesse need kuulusid, jagati kommentaarid nendeks, mille pidi läbi vaatama kriisilahendusnõukogu, kuna need puudutasid eelotsust, ja nendeks, mille pidi läbi vaatama Deloitte, kuna need puudutasid 3. hinnangut. Kriisilahendusnõukogu ei teinud läbivaadatavate kommentaaride hulgas vahet neil, mis olid esitatud vaid üks kord, ja neil, mis olid esitatud mitu korda.
21 Analüüsietapi tulemusel tegi kriisilahendusnõukogu kindlaks 3730 kommentaari, mis liigitati nende asjakohasuse ja teema alusel.
22 Kolmandas etapis ehk läbivaatamise etapis käsitles kriisilahendusnõukogu eelotsuse kohta esitatud kommentaare ja 3. hinnangu kohta esitatud kommentaarid, mida oli 1104, edastati 17. juunil 2019 Deloitte’ile kriisilahendusnõukogu jaoks ette nähtud turvalise virtuaalse andmeserveri kaudu. Kriisilahendusnõukogu laadis Deloitte’ile edastatavad failid virtuaalsesse serverisse üles ning andis nendele failidele juurdepääsu piiratud ja kontrollitud arvule Deloitte’i töötajatele, kes olid projektiga otseselt seotud.
23 Deloitte’ile edastatud kommentaarid sõeluti, liigitati kategooriatesse ja koondati. Kui need kujutasid endast varasemate kommentaaride koopiaid, siis edastati Deloitte’ile vaid üks versioon, mistõttu ei olnud konkreetseid korduvaid kommentaare võimalik sama teema raames eristada ning Deloitte’il ei olnud võimalik teada, kas kommentaari oli esitanud üks või mitu menetluses osalejat.
24 Deloitte’ile edastatud kommentaarid puudutasid üksnes neid, mis saadi konsulteerimisetapis, ja need kandsid tähtnumbrilist koodi. Selle koodi abil oli ainult kriisilahendusnõukogul võimalik siduda kommentaarid registreerimisetapis saadud andmetega. Tähtnumbriline kood töötati välja auditi eesmärgil, et oleks võimalik tagantjärele kontrollida ja vajaduse korral tõendada, et iga kommentaari käsitleti ja võeti nõuetekohaselt arvesse. Deloitte’il ei olnud ega ole ka praegu juurdepääsu registreerimisetapis kogutud andmete kogumile.
Menetlus Üldkohtus
25 Vormile vastanud mõjutatud aktsionärid ja võlausaldajad saatsid 19., 26. ja 28. oktoobril ning 5. detsembril 2019 Euroopa Andmekaitseinspektorile viis kaebust (juhtumid 2019‑947, 2019‑998, 2019‑999, 2019‑1000 ja 2019‑1122) (edaspidi „viis kaebust“) vastavalt Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrusele (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT 2018, L 295, lk 39).
26 Viie kaebuse esitajad (edaspidi „kaebajad“) viitasid asjaolule, et kriisilahendusnõukogu ei teavitanud neid sellest, et vormile antud vastuste abil kogutud andmed edastatakse kolmandatele isikutele, nimelt Deloitte’ile ja Banco Santanderile, rikkudes konfidentsiaalsusdeklaratsiooni tingimusi. Nad väitsid, et kriisilahendusnõukogu rikkus seeläbi määruse 2018/1725 artikli 15 lõike 1 punkti d, mille kohaselt juhul, „[k]ui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks […] asjakohasel juhul tea[be] isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta“.
27 Euroopa Andmekaitseinspektor teatas 12. detsembril 2019 kriisilahendusnõukogule, et ta oli saanud viis kaebust, ja palus tal esitada oma seisukohad.
28 Menetluse tulemusel, mille käigus kriisilahendusnõukogu esitas Euroopa Andmekaitseinspektori palvel mitmesuguseid selgitusi ja kaebajad esitasid seisukohad, võttis Euroopa Andmekaitseinspektor 24. juunil 2020 vastu algse otsuse. Euroopa Andmekaitseinspektor leidis, et kriisilahendusnõukogu oli rikkunud määruse 2018/1725 artiklit 15, kuna ta ei teavitanud kaebajaid konfidentsiaalsusdeklaratsioonis võimalusest, et nende isikuandmed edastatakse Deloitte’ile. Seetõttu tegi ta kriisilahendusnõukogule rikkumise eest määruse 2018/1725 artikli 58 lõike 2 punkti b alusel noomituse.
29 Kriisilahendusnõukogu palus 22. juulil 2020 Euroopa Andmekaitseinspektoril algne otsus uuesti läbi vaadata vastavalt Euroopa Andmekaitseinspektori 15. mai 2020. aasta otsuse Euroopa Andmekaitseinspektori töökorra vastuvõtmise kohta (ELT 2020, L 204, lk 49) artikli 18 lõikele 1. Kriisilahendusnõukogu kirjeldas muu hulgas üksikasjalikult arvamuse avaldamise menetlust ja nende kommentaaride analüüsi, mille olid konsulteerimisetapis esitanud tuvastatud kaebajatest neli. Ta väitis, et Deloitte’ile edastatud teave ei kujutanud endast isikuandmeid määruse 2018/1725 artikli 3 punkti 1 tähenduses.
30 Euroopa Andmekaitseinspektor teatas 5. augustil 2020 kriisilahendusnõukogule, et esitatud uusi asjaolusid arvesse võttes on ta otsustanud algse otsuse uuesti läbi vaadata ja selle asendamiseks võtab ta vastu uue otsuse.
31 Uuesti läbivaatamise menetluse tulemusel, mille käigus kaebajad esitasid seisukohad ja kriisilahendusnõukogu esitas Euroopa Andmekaitseinspektori palvel lisateavet, võttis viimane 24. novembril 2020 vastu muudetud otsuse.
32 Euroopa Andmekaitseinspektor otsustas algset otsust muuta järgmiselt:
„1. Euroopa Andmekaitseinspektor leiab, et andmed, mida kriisilahendusnõukogu Deloitte’iga jagas, olid pseudonümiseeritud andmed nii seetõttu, et [konsulteerimis]etapi kommentaarid olid isikuandmed, kui ka seetõttu, et kriisilahendusnõukogu jagas tähtnumbrilist koodi, mis võimaldas seostada [registreerimis]etapis saadud vastuseid [konsulteerimis]etapis saadud vastustega, kuigi andmeid, mille osalejad esitasid [registreerimis]etapis enda tuvastamiseks, Deloitte’ile ei edastatud.
2. Euroopa Andmekaitseinspektor leiab, et Deloitte oli kaebajate isikuandmete vastuvõtja määruse 2018/1725 artikli 3 punkti 13 tähenduses. Asjaolu, et Deloitte’i ei olnud kriisilahendusnõukogu konfidentsiaalsusdeklaratsioonis mainitud kriisilahendusnõukogu kui arvamuse avaldamise menetluses vastutava töötleja kogutavate ja töödeldavate isikuandmete võimaliku vastuvõtjana, kujutab endast [määruse 2018/1725] artikli 15 lõike 1 punktis d ette nähtud teavitamiskohustuse rikkumist.
3. Võttes arvesse kõiki tehnilisi ja korralduslikke meetmeid, mille kriisilahendusnõukogu on võtnud, et leevendada ohtu üksikisikute õigusele andmekaitsele arvamuse avaldamise menetluses, otsustab Euroopa Andmekaitseinspektor mitte kasutada [määruse 2018/1725] artikli 58 lõikes 2 ette nähtud õigust võtta parandusmeetmeid.
4. Euroopa Andmekaitseinspektor soovitab siiski kriisilahendusnõukogul tagada, et tema konfidentsiaalsusdeklaratsioonid tulevastes arvamuse avaldamise menetlustes hõlmavad isikuandmete töötlemist nii registreerimisetapis kui ka konsulteerimisetapis ning et need hõlmavad kõiki kogutud teabe potentsiaalseid vastuvõtjaid, et täielikult täita andmesubjektide teavitamise kohustust vastavalt [määruse 2018/1725] artiklile 15.“
Poolte nõuded
33 Pärast nõuete muutmist palub kriisilahendusnõukogu Üldkohtul:
– tühistada muudetud otsus;
– tunnistada algne otsus õigusvastaseks;
– mõista kohtukulud välja Euroopa Andmekaitseinspektorilt.
34 Euroopa Andmekaitseinspektor palub Üldkohtul:
– jätta hagi rahuldamata;
– mõista kohtukulud välja kriisilahendusnõukogult.
Õiguslik käsitlus
Üldkohtule esitatud teine nõue „tunnistada algne otsus õigusvastaseks“
35 Käesoleval juhul ei ole poolte vahel vaidlust selle üle, et muudetud otsusega tunnistati algne otsus kehtetuks ja asendati see.
36 Euroopa Andmekaitseinspektor väidab, et seetõttu on algset otsust puudutav nõue vastuvõetamatu.
37 Kriisilahendusnõukogu väidab, et tal säilib huvi, et tuvastataks menetlusnormide rikkumine, mis viis algse otsuse vastuvõtmiseni, nimelt tema kaitseõiguste ja toimikuga tutvumise õiguse rikkumine, et see rikkumine ei korduks tulevastes menetlustes. Ta täpsustas oma vastuses menetlust korraldavale meetmele, et oma teise nõudega ei palu ta tühistada algset otsust, kuna see tunnistati kehtetuks ja asendati muudetud otsusega ex tunc, vaid tunnistada algne otsus õigusvastaseks.
38 Seega tuleb asuda seisukohale, et oma teise nõudega palub kriisilahendusnõukogu teha tuvastusotsuse, mitte akti tühistada.
39 Ent piisab sellest, kui meenutada, et väljakujunenud kohtupraktikast ilmneb, et Üldkohtul ei ole ELTL artikli 263 alusel teostatava õiguspärasuse kontrolli käigus pädevust teha deklaratiivseid kohtuotsuseid (vt 4. veebruari 2009. aasta kohtuotsus Omya vs. komisjon, T‑145/06, EU:T:2009:27, punkt 23 ja seal viidatud kohtupraktika, 13. septembri 2018. aasta kohtuotsus DenizBank vs. nõukogu, T‑798/14, EU:T:2018:546, punkt 135 ja seal viidatud kohtupraktika).
40 Sellest järeldub, et kriisilahendusnõukogu Üldkohtule esitatud teine nõue „tunnistada algne otsus õigusvastaseks“ tuleb jätta läbi vaatamata, kuna Üldkohtul ei ole pädevust seda lahendada.
Muudetud otsuse tühistamist puudutava esimese nõude vastuvõetavus
41 Hagi vastuvõetavus kuulub avalikust huvist tulenevate asja läbivaatamist takistavate asjaolude hulka, mida liidu kohus võib igal ajal omal algatusel tõstatada (vt 16. märtsi 2022. aasta kohtuotsus MEKH ja FGSZ/ACER, T‑684/19 ja T‑704/19, EU:T:2022:138, punkt 29 ja seal viidatud kohtupraktika; vt selle kohta samuti 24. märtsi 1993. aasta kohtuotsus CIRFS jt vs. komisjon, C‑313/90, EU:C:1993:111, punkt 23). Menetlust korraldava meetme raames küsis Üldkohus pooltelt muu hulgas, kas muudetud otsus on ELTL artikli 263 alusel vaidlustatav akt.
42 Vastuseks sellele küsimusele märgib Euroopa Andmekaitseinspektor, et asjaolu, et muudetud otsus sisaldab tema lõplikku seisukohta ja rikkumise tuvastamist, ei ole piisav, et tegemist oleks vaidlustatava aktiga. Oleks vaja, et see seisukoht tooks kaasa kriisilahendusnõukogu õigusliku olukorra muutumise. Kuna Euroopa Andmekaitseinspektor ei ole kasutanud muudetud otsuses määruse 2018/1725 artiklis 58 ette nähtud parandusvolitusi, võib asuda seisukohale, et see otsus ei tekita õiguslikke tagajärgi, mis annaksid alust otsust ELTL artikli 263 alusel kohtulikult kontrollida.
43 Kriisilahendusnõukogu väidab oma vastuses samale küsimusele, et muudetud otsus tekitab õiguslikke tagajärgi, mis võivad tema huve mõjutada.
44 Kohtupraktikast tuleneb, et ELTL artikli 263 neljanda lõigu alusel võib füüsiline või juriidiline isik vaidlustada üksnes siduvaid õiguslikke tagajärgi tekitavaid akte, mis mõjutavad tema huve, muutes oluliselt tema õiguslikku olukorda. Vaidlustatavateks aktideks on niisiis üldjuhul meetmed, mis kinnitavad haldusmenetluse lõppedes liidu institutsiooni, organi või asutuse lõpliku seisukoha ja tekitavad siduvaid õiguslikke tagajärgi hageja huve mõjutaval viisil, ning nende hulka ei kuulu vahemeetmed, mille eesmärk on valmistada ette lõplik otsus ja mis selliseid tagajärgi ei tekita (vt 25. juuni 2020. aasta kohtuotsus Satcen vs. KF, C‑14/19 P, EU:C:2020:492, punktid 69 ja 70 ja seal viidatud kohtupraktika, ning 6. mai 2021. aasta kohtuotsus ABLV Bank jt vs. EKP, C‑551/19 P ja C‑552/19 P, EU:C:2021:369, punkt 39 ja seal viidatud kohtupraktika).
45 Selleks et teha kindlaks, kas vaidlustatud akt tekitab niisuguseid tagajärgi, tuleb lähtuda akti ainesest ja hinnata akti tagajärgi selliste objektiivsete kriteeriumide alusel nagu akti sisu, võttes vajaduse korral arvesse akti vastuvõtmise konteksti ja akti vastu võtnud liidu institutsiooni, organi või asutuse pädevust (vt 22. aprilli 2021. aasta kohtuotsus thyssenkrupp Electrical Steel ja thyssenkrupp Electrical Steel Ugo vs. komisjon, C‑572/18 P, EU:C:2021:317, punkt 48 ja seal viidatud kohtupraktika; 6. mai 2021. aasta kohtuotsus ABLV Bank jt vs. EKP, C‑551/19 P ja C‑552/19 P, EU:C:2021:369, punkt 41 ja seal viidatud kohtupraktika, ning 6. oktoobri 2021. aasta kohtuotsus Tognoli jt vs. parlament, C‑431/20 P, EU:C:2021:807, punkt 34 ja seal viidatud kohtupraktika).
46 Esimesena väärib meeldetuletamist, et Euroopa Andmekaitseinspektor võttis muudetud otsuse vastu pärast seda, kui kriisilahendusnõukogu oli palunud algse otsuse uuesti läbi vaadata. Võistleva haldusmenetluse tulemusel vastu võetud muudetud otsusega tunnistati algne otsus kehtetuks ja asendati see ning muudetud otsus kujutab endast otsust, mis kinnitab Euroopa Andmekaitseinspektori lõpliku seisukoha viie kaebuse suhtes.
47 Määruse 2018/1725 artikli 64 – mis käsitleb õigust tõhusale kohtulikule õiguskaitsevahendile – lõikes 2 on aga ette nähtud, et Euroopa Andmekaitseinspektori otsuste peale võib esitada hagi Euroopa Liidu Kohtule.
48 Täpsemalt on Euroopa Andmekaitseinspektori töökorra artikli 18, mille alusel muudetud otsus vastu võeti, lõikes 3 sätestatud:
„Kui Euroopa Andmekaitseinspektor võtab pärast kaebuse kohta tehtud otsuse läbivaatamist vastu uue muudetud otsuse, teavitab ta kaebuse esitajat ja asjaomast institutsiooni võimalusest kaevata uus otsus edasi Euroopa Liidu Kohtusse kooskõlas [ELTL] artikliga 263.“
49 Sellega seoses on kriisilahendusnõukogule saadetud muudetud otsuse kaaskirjas märgitud järgmist:
„Juhime tähelepanu sellele, et selle otsusega tühistatakse ja asendatakse 24. juunil 2020 vastu võetud otsus. Te võite esitada selle otsuse peale [ELTL] artiklis 263 ette nähtud tingimustel tühistamishagi Euroopa Liidu Kohtule kahe kuu jooksul alates käesoleva otsuse vastuvõtmisest.“
50 Teisena, mis puudutab muudetud otsuse ainest, siis väärib esiteks meeldetuletamist, et Euroopa Andmekaitseinspektor järeldas, et kriisilahendusnõukogu rikkus määruse 2018/1725 artikli 15 lõike 1 punktis d ette nähtud teavitamiskohustust, ja teiseks, et ta soovitas tal sisuliselt tagada, et tulevastes konfidentsiaalsusdeklaratsioonides sellist rikkumist ei korrata.
51 Ühelt poolt tuleb märkida, et määruse 2018/1725 artikli 65 kohaselt võib niisugune rikkumine kaasa tuua kriisilahendusnõukogu kui asjaomaste andmete vastutava töötleja vastutuse, kui aluslepingutes sätestatud muud tingimused on täidetud.
52 Teiselt poolt nähtub määruse 2018/1725 artikli 66 lõikest 1, et otsustades liidu institutsioonile või asutusele trahvi määramise ja selle suuruse üle, pöörab Euroopa Andmekaitseinspektor tähelepanu muu hulgas institutsiooni või asutuse eelnevatele sarnastele rikkumistele. Seega, kui kriisilahendusnõukogu ei järgi Euroopa Andmekaitseinspektori soovitust muuta tulevikus oma konfidentsiaalsusdeklaratsioone arvamuse avaldamise menetlustes, võidakse tuvastada sarnane määruse 2018/1725 artikli 15 lõike 1 punkti d rikkumine kriisilahendusnõukogu poolt ja selle tagajärjel võidakse määrata trahv.
53 Sellest järeldub, et asjaolu, et muudetud otsuses tuvastati määruse 2018/1725 artikli 15 lõike 1 punkti d rikkumine kriisilahendusnõukogu poolt, tekitab siduvaid õiguslikke tagajärgi, kuigi Euroopa Andmekaitseinspektor märkis, et ta loobub määruse 2018/1725 artikli 58 lõikes 2 ette nähtud parandusmeetmete võtmise pädevuse kasutamisest.
54 Eespool toodut arvestades on muudetud otsus liidu akt, mis võib mõjutada selle adressaadi huve, tuues kaasa selge muutuse tema õiguslikus seisundis. Seega on tegemist vaidlustatava aktiga ELTL artikli 263 tähenduses.
55 Järelikult tuleb asuda seisukohale, et muudetud otsuse tühistamist puudutav esimene nõue on vastuvõetav.
Sisulised küsimused
56 Kriisilahendusnõukogu põhjendab oma hagi kahe väitega. Esimese väite kohaselt on rikutud määruse 2018/1725 artikli 3 lõiget 1, kuna Deloitte’ile edastatud teave ei kujutanud endast isikuandmeid. Teine väide puudutab seda, et rikutud on õigust heale haldusele, mis on tagatud harta artikliga 41.
57 Esimeses väites leiab kriisilahendusnõukogu, et Euroopa Andmekaitseinspektor rikkus määruse 2018/1725 artikli 3 lõiget 1, kui ta muudetud otsuses leidis, et Deloitte’ile edastatud teave kujutas endast kaebajate isikuandmeid.
58 Määruse 2018/1725 artikli 3 punktis 1 on isikuandmed määratletud kui „igasugune teave tuvastatud või tuvastatava füüsilise isiku […] kohta [ja on märgitud, et] tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal“.
59 Sellest määratlusest nähtub, et teave kujutab endast isikuandmeid eelkõige siis, kui on täidetud kaks kumulatiivset tingimust, nimelt esiteks on tegemist teabega füüsilise isiku „kohta“ ja teiseks on see isik „tuvastatud või tuvastatav“.
Määruse 2018/1725 artikli 3 punktis 1 ette nähtud tingimus, et tegemist on teabega füüsilise isiku „kohta“
60 Kriisilahendusnõukogu väidab, et konsulteerimisetapis saadud ja Deloitte’ile edastatud kommentaarid ei puudutanud konkreetseid isikuid määruse 2018/1725 artikli 3 lõike 1 tähenduses. Ta leiab, et 20. detsembri 2017. aasta kohtuotsuses Nowak (C‑434/16, EU:C:2017:994) esitatud arutluskäik ei ole kaebajate kommentaaride suhtes kohaldatav. Ta väidab, et kaebajate kommentaarides sisalduv teave oli faktiline ja õiguslik teave, mis on sõltumatu kaebajate isikust või isiklikest omadustest ning mis ei ole nende eraeluga seotud. Ta on seisukohal, et arvamuse avaldamise menetluse eesmärk oli hinnata faktilisi ja õiguslikke argumente, mille oli eelotsuse ja 3. hinnangu kohta esitanud suur hulk huvitatud isikuid, kelle isik ja identiteet ei olnud nende kommentaaride hindamisel asjakohased.
61 Euroopa Andmekaitseinspektor väidab, et mõjutatud aktsionäride ja võlausaldajate kommentaaride sisu on neid „puudutav“ teave, kuna nende vastused sisaldasid ja kajastasid nende isiklikku seisukohta, isegi kui need põhinesid üldsusele kättesaadaval teabel. Vastused, mis kaebajad ja teised osalejad vormile andsid, kujutavad endast isikuandmeid, sõltumata sellest, kas tegemist on algse seisukoha või teistega jagatud seisukoha avaldamisega, ja sellest, kas kriisilahendusnõukogu peab neid teabeks, mis ei sõltu mõjutatud aktsionäride ja võlausaldajate konkreetsetest õigustest eraelu puutumatuse valdkonnas.
62 Euroopa Andmekaitseinspektor leiab samuti, et kommentaarid on nende mõju tõttu isikuandmed. Kommentaaridele antud hinnang, mille eesmärk oli kontrollida 3. hinnangu kehtivust ja eelotsuse õiguspärasust, võis mõjutada osalejate huve ja õigusi rahalise hüvitise valdkonnas. Lõpuks väidab ta, et kommentaaride kogumise eesmärk oli anda igale poolele menetlusõigused, et koguda individuaalseid seisukohti.
63 Muudetud otsuses märkis Euroopa Andmekaitseinspektor, et konsulteerimisetapis saadud vastused kujutavad endast kaebajate isikuandmeid, kuna need sisaldavad nende isiklikke seisukohti ja kujutavad endast seega neid puudutavat teavet, isegi kui need põhinesid seisukoha väljendamiseks üldsusele kättesaadaval teabel. Ta leidis, et asjaolu, et kaebajad väljendasid teiste osalejatega sarnaseid, kuid mitte identseid seisukohti, ei tähenda, et nende vastused ei kajastanud nende endi arvamust. Seetõttu asus Euroopa Andmekaitseinspektor seisukohale, et kõiki vabal tekstiväljal kaebajate ja teiste osalejate antud vastuseid tuleb pidada isikuandmeteks, olgu tegemist algse ja ainulaadse seisukoha või teistega jagatud või üldsusele kättesaadavast teabest inspireeritud või sellel teabel põhineva seisukoha avaldamisega. Ta lisas, et seda järeldust ei lükka ümber 20. detsembri 2017. aasta kohtuotsus Nowak (C‑434/16, EU:C:2017:994), milles Euroopa Kohus ei teinud vahet vastajate poolt täielikult koostatud vastustel ja muudest teabeallikatest saadud vastustel.
64 Tuleb analüüsida, kas Euroopa Andmekaitseinspektor võis põhjendatult leida, et Deloitte’ile on edastatud teave füüsilise isiku „kohta“ määruse 2018/1725 artikli 3 punkti 1 tähenduses.
65 Kõigepealt tuleb märkida, et muudetud otsuses kvalifitseeris Euroopa Andmekaitseinspektor kõik mõjutatud aktsionäride ja võlausaldajate konsulteerimisetapis esitatud kommentaarid isikuandmeteks ega piirdunud oma hinnangus üksnes Deloitte’ile edastatud teabega.
66 Kuna määruse 2018/1725 artikli 15 lõike 1 punkti d rikkumine, mis muudetud otsusega tuvastati, puudutas üksnes asjaolu, et kriisilahendusnõukogu ei maininud konfidentsiaalsusdeklaratsioonis, et Deloitte on teatud andmete potentsiaalne vastuvõtja, siis tuleb piirduda selle analüüsimisega, kas Deloitte’ile edastatud teave oli käsitatav isikuandmetena määruse 2018/1725 artikli 3 punkti 1 tähenduses.
67 Sellega seoses on määruse 2018/1725 artikli 3 punkt 13 „vastuvõtja“ määratletud kui „füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte“.
68 Kohtupraktika kohaselt viitab väljendi „igasugune teave“ kasutamine määruse 2018/1725 artikli 3 punktis 1 sisalduva mõiste „isikuandmed“ määratluses sellele, et liidu seadusandja eesmärk oli anda kõnealusele mõistele lai tähendusväli, mis ei ole piiratud tundliku või eraelulise teabega, vaid hõlmab potentsiaalselt igasugust – nii objektiivset kui ka subjektiivset – teavet arvamuste või hinnangute vormis, tingimusel, et need „puudutavad“ kõnealust isikut (vt analoogia alusel 20. detsembri 2017. aasta kohtuotsus Nowak, C‑434/16, EU:C:2017:994, punkt 34).
69 Mis puudutab viimati nimetatud tingimust, siis on Euroopa Kohus otsustanud, et see on täidetud, kui teave on selle sisu, eesmärki või mõju arvestades seotud ühe konkreetse inimesega (20. detsembri 2017. aasta kohtuotsus Nowak, C‑434/16, EU:C:2017:994, punkt 35).
70 Muudetud otsuses ei analüüsinud Euroopa Andmekaitseinspektor aga ei Deloitte’ile edastatud teabe sisu, eesmärki ega mõju.
71 Ta piirdus nimelt märkusega, et konsulteerimisetapis peegeldasid kaebajate esitatud kommentaarid nende arvamusi või seisukohti, ja järeldas ainuüksi sel alusel, et tegemist oli neid puudutava teabega, ning sellest piisas, et kvalifitseerida need isikuandmeteks.
72 Kohtuistungil kinnitas Euroopa Andmekaitseinspektor, et tema hinnangul on igasugune isiklik arvamus käsitatav isikuandmetena. Samuti möönis ta, et ta ei analüüsinud kaebajate poolt konsulteerimisetapis esitatud kommentaaride sisu.
73 Mõistagi ei saa välistada, et isiklikud seisukohad või arvamused kujutavad endast isikuandmeid. Eespool punktides 68 ja 69 viidatud 20. detsembri 2017. aasta kohtuotsuse Nowak (C‑434/16, EU:C:2017:994) punktidest 34 ja 35 nähtub siiski, et selline järeldus ei saa põhineda niisugusel eeldusel, nagu on kirjeldatud eespool punktides 71 ja 72, vaid see peab tuginema analüüsile, mille eesmärk on kindlaks teha, kas seisukoht on oma sisu, eesmärgi või mõju poolest seotud ühe konkreetse inimesega.
74 Sellest järeldub, et kuna sellist analüüsi ei tehtud, ei saanud Euroopa Andmekaitseinspektor järeldada, et Deloitte’ile edastatud teave kujutas endast määruse 2018/1725 artikli 3 punkti 1 tähenduses teavet füüsilise isiku „kohta“.
75 Edasi analüüsib Üldkohus Euroopa Andmekaitseinspektori hinnangut selle kohta, kas Deloitte’ile edastatud teave puudutas „tuvastatud või tuvastatavat“ füüsilist isikut.
Määruse 2018/1725 artikli 3 punktis 1 ette nähtud tingimus, et teave peab puudutama „tuvastatud või tuvastatavat“ füüsilist isikut
76 Kriisilahendusnõukogu väidab, et vastupidi Euroopa Andmekaitseinspektori seisukohale ei toonud tähtnumbrilise koodi Deloitte’ile edastamine kaasa andmete pseudonümiseerimist. Andmed jäid anonüümseks, kuna kriisilahendusnõukogu ei jaganud Deloitte’iga teavet, mis oleks võimaldanud kommentaaride esitajad uuesti tuvastada.
77 Kriisilahendusnõukogu väidab, et andmed muudetakse kolmanda isiku jaoks anonüümseks, isegi kui uuesti tuvastamist võimaldavat teavet ei ole pöördumatult kustutatud ja seda säilitab esialgne volitatud töötleja, kuna vorm, milles andmed sellele kolmandale isikule edastatakse, ei võimalda enam kommentaaride esitajat tuvastada või ei tee seda mõistlikult tõenäoliseks. Kriisilahendusnõukogu väidab, et vastupidi sellele, mida leidis Euroopa Andmekaitseinspektor muudetud otsuses, nõuavad määrus 2018/1725 ja Euroopa Kohtu praktika uuesti tuvastamise ohu hindamist.
78 Täpsemalt väidab kriisilahendusnõukogu, et käesolevas asjas ei ole täidetud Euroopa Kohtu praktikas seatud tingimused, mis puudutavad uuesti tuvastamise ohu olemasolu, kui kogu teave, mis võimaldab isiku tuvastada, ei ole ainult ühe, vaid on mitme isiku valduses. Esiteks ei võimalda individuaalsetele kommentaaridele omistatud tähtnumbriline kood Deloitte’il kommentaare esitanud isikuid uuesti tuvastada. Määruse 2018/1725 artikli 3 punktis 6 nimetatud täiendav teave koosneb andmebaasist, mis võimaldab dekodeerida, mida on võimalik teha ainult kriisilahendusnõukogul. Teiseks, mis puudutab teabe kombineerimise mõistliku tõenäosuse kriteeriumi, siis ei olnud Deloitte’il tookord ega ole ka praegu seaduslikke vahendeid täiendava teabega tutvumiseks ja isikute tuvastamiseks.
79 Euroopa Andmekaitseinspektor väidab, et asjaolu, et Deloitte ei saanud tutvuda kriisilahendusnõukogu valduses oleva teabega, mis võimaldab isikuid uuesti tuvastada, ei tähenda, et Deloitte’ile edastatud pseudonümiseeritud andmed on muutunud anonüümseteks andmeteks. Ei ole vaja kindlaks teha, kas Deloitte’ile edastatud teabe koostajaid oli Deloitte’il võimalik uuesti tuvastada või kas uuesti tuvastamine oli mõistlikult tõenäoline. Pseudonümiseeritud andmed jäävad pseudonümiseerituks isegi siis, kui need edastatakse kolmandale isikule, kellel ei ole täiendavat teavet.
80 Euroopa Andmekaitseinspektor väidab, et sõna „kaudselt“ kasutamine määruse 2018/1725 artikli 3 punktis 1 tähendab, et selleks, et teabe saaks kvalifitseerida isikuandmeteks, ei ole vaja, et see üksi võimaldaks andmesubjekti tuvastada. Lisaks, mis puudutab vahendeid, mida nii vastutav töötleja kui ka mis tahes muu isik võib mõistliku tõenäosusega kasutada, siis ei ole nõutud, et kogu teave, mis võimaldab andmesubjekti tuvastada, peab olema üheainsa isiku valduses.
81 Muudetud otsuses asus Euroopa Andmekaitseinspektor seisukohale, et Deloitte’ile edastatud teave oli käsitatav pseudonümiseeritud andmetena. Ta märkis sellega seoses, et erinevus pseudonümiseeritud ja anonüümsete andmete vahel seisneb selles, et anonüümsete andmete puhul ei ole „täiendavat teavet“, mida saaks kasutada andmete omistamiseks konkreetsele andmesubjektile, samas kui pseudonümiseeritud andmete puhul on selline täiendav teave olemas. Seetõttu tuleb selleks, et hinnata, kas andmed olid anonüümsed või pseudonümiseeritud, analüüsida, kas oli olemas täiendavat teavet, mida sai kasutada andmete omistamiseks konkreetsetele andmesubjektidele.
82 Euroopa Andmekaitseinspektor tõdes, et kriisilahendusnõukogu ei edastanud Deloitte’ile mitte ainult mõjutatud aktsionäride ja võlausaldajate teatud kommentaare, vaid ka vastava tähtnumbrilise koodi, ja et Deloitte’il ei olnud võimalik tutvuda registreerimisetapis antud vastustega. Ta märkis, et nagu kriisilahendusnõukogu selgitas, „ei olnud Deloitte’il võimalik tuvastada kõigi seda koodi kasutanud osalejate isikut (mida puudutavaid andmeid säilitas alati kriisilahendusnõukogu), tuginedes konkreetsetele andmetele, mille osalemiskõlblikud isikud esitasid registreerimisetapis“. Euroopa Andmekaitseinspektor leidis siiski, et registreerimisetapis esitatud andmed koos ainulaadse identifikaatoriga, nimelt igale osalemiskõlblikule isikule omistatud tähtnumbrilise koodiga, kujutavad endast täiuslikku näidet täiendavast teabest määruse 2018/1725 artikli 3 punkti 6 tähenduses, kuna kriisilahendusnõukogu võis neid kasutada andmete omistamiseks konkreetsele andmesubjektile.
83 Euroopa Andmekaitseinspektor selgitas, et määrus 2018/1725 ei tee vahet neil, kes säilitavad pseudonümiseeritud andmeid, ja neil, kellel on täiendav teave, ning et asjaolu, et tegemist on erinevate üksustega, ei muuda pseudonümiseeritud andmeid anonüümseks. Ta lisas, et asjaolu, et Deloitte üksi ei saanud kommentaare seostada registreerimisetapis saadud andmetega, ei välista, et tema saadud andmed olid pseudonümiseeritud. Euroopa Andmekaitseinspektori hinnangul olid andmed, mida kriisilahendusnõukogu jagas Deloitte’iga, pseudonümiseeritud andmed nii seetõttu, et konsulteerimisetapis saadud kommentaarid olid isikuandmed, kui ka seetõttu, et kriisilahendusnõukogu jagas tähtnumbrilist koodi, mis võimaldas siduda registreerimisetapis antud vastused konsulteerimisetapis antud vastustega, kuigi andmeid, mille osalejad esitasid registreerimisetapis enda tuvastamiseks, Deloitte’ile ei edastatud. Ta järeldas sellest, et Deloitte’ile edastatud teave oli käsitatav pseudonümiseeritud andmetena ja seega isikuandmetena määruse 2018/1725 artikli 3 punkti 1 tähenduses.
84 Kõigepealt tuleb märkida, et arvestades mehhanisme, mis kriisilahendusnõukogu on kehtestanud seoses arvamuse avaldamise menetluses kogutud andmete töötlemisega ja mida on kirjeldatud eespool punktides 14–24, ei puudutanud Deloitte’ile edastatud teave „tuvastatud“ isikuid.
85 Seega tuleb analüüsida, kas Euroopa Andmekaitseinspektor võis põhjendatult asuda seisukohale, et Deloitte’ile edastatud teave puudutas füüsilist isikut, kes on määruse 2018/1725 artikli 3 punkti 1 tähenduses „tuvastatav“.
86 Selle sätte kohaselt on „tuvastatav füüsiline isik“ füüsiline isik, keda saab otseselt või kaudselt tuvastada.
87 Määruse 2018/1725 põhjenduses 16 on märgitud:
„[…] Pseudonümiseeritud andmeid, mida saaks füüsilise isikuga seostada täiendava teabe abil, tuleks käsitada teabena tuvastatava füüsilise isiku kohta. Füüsilise isiku tuvastatavuse kindlakstegemisel tuleks arvesse võtta kõiki vahendeid, mida vastutav töötleja või keegi muu võib füüsilise isiku otseseks või kaudseks tuvastamiseks mõistliku tõenäosusega kasutada, näiteks teiste hulgast esiletoomine. Selleks et teha kindlaks, kas füüsilise isiku tuvastamiseks võetakse mõistliku tõenäosusega meetmeid, tuleks arvestada kõiki objektiivseid tegureid, näiteks tuvastamise maksumus ja selleks vajalik aeg, võttes arvesse nii andmete töötlemise ajal kättesaadavat tehnoloogiat kui ka tehnoloogia arengut. […]“.
88 Tuleb märkida, et 19. oktoobri 2016. aasta kohtuotsuses Breyer (C‑582/14, EU:C:2016:779) tõlgendas Euroopa Kohus isikuandmete mõistet Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) artikli 2 punkti a tähenduses, mis on määruse 2018/1725 artikli 3 punktiga 1 samaväärne säte.
89 Selles kohtuasjas tekkis küsimus, kas dünaamiline internetiprotokolli aadress (edaspidi „IP-aadress“) oli selle registreerinud elektrooniliste teabe- ja sideteenuste pakkuja jaoks isikuandmed. Euroopa Kohus leidis, et tuleb kontrollida, kas selle IP‑aadressi saab kvalifitseerida teabeks, mis puudutab „tuvastatavat füüsilist isikut“, võttes arvesse esiteks asjaolu, et see üksi ei andnud teenuseosutajale võimalust tuvastada kasutajat, kes külastas veebisaiti, ning teiseks asjaolu, et internetiühenduse pakkuja valduses oli vajalik täiendav teave, mis koos IP‑aadressiga oleks võimaldanud selle kasutaja tuvastada.
90 Kuna määruse 2018/1725 põhjenduses 16 on viidatud vahenditele, mida vastutav töötleja või „keegi muu“ võib mõistliku tõenäosusega kasutada, siis viitab selle põhjenduse sõnastus sellele, et määruse 2018/1725 artikli 3 punkti 1 tähenduses „isikuandmeteks“ määratlemisel ei ole nõutud, et kogu teave, mis võimaldab andmesubjekti tuvastada, peab olema üheainsa isiku valduses (vt analoogia alusel 19. oktoobri 2016. aasta kohtuotsus Breyer, C‑582/14, EU:C:2016:779, punkt 43).
91 Euroopa Kohus lisas siiski, et asjaolu, et veebisaidi kasutaja tuvastamiseks vajalikud täiendavad andmed ei olnud mitte elektrooniliste teabe- ja sideteenuste pakkuja valduses, vaid selle kasutaja internetiühenduse pakkuja valduses, ei näinud seega välistavat, et elektrooniliste teabe- ja sideteenuste pakkuja poolt salvestatud dünaamilised IP-aadressid olid selle teenusepakkuja jaoks isikuandmed (19. oktoobri 2016. aasta kohtuotsus Breyer, C‑582/14, EU:C:2016:779, punkt 44).
92 Euroopa Kohus leidis, et sellegipoolest tuleb kindlaks teha, kas võimalus ühendada dünaamiline IP-aadress täiendava teabega, mis on internetiühenduse pakkuja valduses, kujutab endast meedet, mida võidakse mõistliku tõenäosusega kasutada andmesubjekti tuvastamiseks (19. oktoobri 2016. aasta kohtuotsus Breyer, C‑582/14, EU:C:2016:779, punkt 45).
93 Euroopa Kohus märkis, et olukord ei oleks olnud selline juhul, kui andmesubjekti tuvastamine oleks seadusega keelatud või praktiliselt teostamatu näiteks seetõttu, et see nõuaks ajaliselt, majanduslikult ja inimressursside poolest ülemäärast jõupingutust, mistõttu oleks tuvastamise oht tegelikkuses tundunud olevat väike (19. oktoobri 2016. aasta kohtuotsus Breyer, C‑582/14, EU:C:2016:779, punkt 46).
94 Käesolevas asjas ei ole vaidlust esiteks selle üle, et Deloitte’ile edastatud teabes esinev tähtnumbriline kood üksi ei võimaldanud tuvastada kommentaaride esitajaid, ja teiseks selle üle, et Deloitte’il ei olnud juurdepääsu registreerimisetapis saadud identifitseerimisandmetele, mis oleksid võimaldanud siduda osalejad tähtnumbrilise koodi abil nende kommentaaridega.
95 Euroopa Andmekaitseinspektor märkis muudetud otsuses ja kinnitas kohtuistungil, et kommentaaride esitajate tuvastamiseks vajalik täiendav teave on tähtnumbriline kood ja identifitseerimisandmete kogum.
96 Tõsi küll, nagu Euroopa Andmekaitseinspektor väidab, arvestades eespool punktis 90 viidatud 19. oktoobri 2016. aasta kohtuotsuse Breyer (C‑582/14, EU:C:2016:779) punkti 43, ei välista asjaolu, et konsulteerimisetapis saadud kommentaaride esitajate tuvastamiseks vajalik täiendav teave ei olnud mitte Deloitte’i, vaid kriisilahendusnõukogu valduses, a priori seda, et Deloitte’ile edastatud teave kujutas endast viimase jaoks isikuandmeid.
97 Siiski nähtub 19. oktoobri 2016. aasta kohtuotsusest Breyer (C‑582/14, EU:C:2016:779) samuti, et selle kindlakstegemiseks, kas Deloitte’ile edastatud teave kujutab endast isikuandmeid, tuleb lähtuda Deloitte’i vaatenurgast, et teha kindlaks, kas talle edastatud teave on seotud „tuvastatavate isikutega“.
98 Nimelt väärib esimesena meeldetuletamist, et määruse 2018/1725 artikli 15 lõike 1 punkti d rikkumine, mille Euroopa Andmekaitseinspektor muudetud otsusega tuvastas, puudutas teatud kommentaaride edastamist kriisilahendusnõukogu poolt Deloitte’ile, mitte ainult seda, et need olid kriisilahendusnõukogu valduses.
99 Teisena võib ühelt poolt Deloitte’i olukorda võrrelda 19. oktoobri 2016. aasta kohtuotsuses Breyer (C‑582/14, EU:C:2016:779) kõne all olnud teabe- ja sideteenuste pakkuja omaga, kuivõrd tal oli teavet, st 3. hinnangu kohta esitatud kommentaarid, mis ei kujutanud endast teavet „tuvastatud füüsilise isiku“ kohta, kuna igal vastusel olnud tähtnumbriline kood ei võimaldanud vormi täitnud füüsilist isikut otseselt tuvastada. Teiselt poolt võib kriisilahendusnõukogu olukorda võrrelda selles kohtuasjas internetiühenduse pakkuja olukorraga, kuna vaidlust ei ole selle üle, et ta oli ainus, kelle valduses oli täiendav teave, mis võimaldas tuvastada vormile vastanud mõjutatud aktsionärid ja võlausaldajad, nimelt tähtnumbriline kood ja identifitseerimisandmete kogum.
100 Seega vastavalt eespool punktis 91 viidatud 19. oktoobri 2016. aasta kohtuotsuse Breyer (C‑582/14, EU:C:2016:779) punktile 44 pidi Euroopa Andmekaitseinspektor analüüsima, kas Deloitte’ile edastatud kommentaarid kujutasid endast tema jaoks isikuandmeid.
101 Euroopa Andmekaitseinspektor väidab seega vääralt, et ei olnud vaja uurida, kas Deloitte’ile edastatud teabe koostajaid oli Deloitte’il võimalik uuesti tuvastada või kas see uuesti tuvastamine oli mõistlikult võimalik.
102 Tuleb tõdeda, et muudetud otsuses leidis Euroopa Andmekaitseinspektor, et asjaolu, et kriisilahendusnõukogu valduses oli täiendavat teavet, mis võimaldas kommentaaride esitajad uuesti tuvastada, oli piisav, et järeldada, et Deloitte’ile edastatud teave oli käsitatav isikuandmetena, mööndes samas, et registreerimisetapis saadud identifitseerimisandmeid Deloitte’ile ei edastatud.
103 Muudetud otsusest nähtub seega, et Euroopa Andmekaitseinspektor piirdus sellega, et analüüsis võimalust tuvastada kommentaaride esitajad uuesti kriisilahendusnõukogu, mitte Deloitte’i seisukohast.
104 Eespool punktis 92 viidatud 19. oktoobri 2016. aasta kohtuotsuse Breyer (C‑582/14, EU:C:2016:779) punktist 45 nähtub aga, et Euroopa Andmekaitseinspektori ülesanne oli kindlaks teha, kas võimalus kombineerida Deloitte’ile edastatud teavet kriisilahendusnõukogu valduses oleva täiendava teabega on vahend, mida Deloitte võis kommentaaride esitajate tuvastamiseks mõistliku tõenäosusega rakendada.
105 Seega, kuna Euroopa Andmekaitseinspektor ei uurinud, kas Deloitte’il olid olemas õiguslikud ja praktikas teostatavad vahendid, mis võimaldavad tal tutvuda kommentaaride esitajate uuesti tuvastamiseks vajaliku täiendava teabega, ei saanud Euroopa Andmekaitseinspektor järeldada, et Deloitte’ile edastatud teave kujutas endast teavet „tuvastatava füüsilise isiku“ kohta määruse 2018/1725 artikli 3 punkti 1 tähenduses.
106 Kõigest eespool toodust nähtub, et esimese väitega tuleb nõustuda ja seega tuleb muudetud otsus tühistada, ilma et oleks vaja teist väidet analüüsida.
Kohtukulud
107 Vastavalt Üldkohtu kodukorra artikli 134 lõikele 1 on kohtuvaidluse kaotanud pool kohustatud hüvitama kohtukulud, kui vastaspool on seda nõudnud.
108 Kuna Euroopa Andmekaitseinspektor on kohtuvaidluse põhiosas kaotanud, tuleb kohtukulud vastavalt kriisilahendusnõukogu nõuetele välja mõista Euroopa Andmekaitseinspektorilt.
Esitatud põhjendustest lähtudes
ÜLDKOHUS (kaheksas koda laiendatud koosseisus)
otsustab:
1. Tühistada Euroopa Andmekaitseinspektori 24. novembri 2020. aasta muudetud otsus, mis võeti vastu pärast seda, kui Ühtne Kriisilahendusnõukogu (kriisilahendusnõukogu) oli esitanud taotluse vaadata uuesti läbi Euroopa Andmekaitseinspektori 24. juuni 2020. aasta otsus viie kaebuse kohta, mille olid esitanud mitu kaebajat (juhtumid 2019‑947, 2019‑998, 2019‑999, 2019‑1000 ja 2019‑1122).
2. Jätta hagi ülejäänud osas rahuldamata.
3. Mõista kohtukulud välja Euroopa Andmekaitseinspektorilt.
Kuulutatud avalikul kohtuistungil 26. aprillil 2023 Luxembourgis.
Allkirjad