CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:T:2023:219

SODBA SPLOŠNEGA SODIŠČA (osmi razširjeni senat)

z dne 26. aprila 2023(*)

„Varstvo osebnih podatkov – Postopek za odobritev nadomestila delničarjem in upnikom po reševanju kreditne institucije – Sklep ENVP, s katerim je bilo ugotovljeno, da je EOR kršil svoje obveznosti v zvezi z obdelavo osebnih podatkov – Člen 15(1)(d) Uredbe (EU) 2018/1725 – Pojem ,osebni podatki‘ – Člen 3, točka 1, Uredbe (EU) 2018/1725 – Pravica do vpogleda v spis“

V zadevi T‑557/20,

Enotni odbor za reševanje (EOR), ki ga zastopajo H. Ehlers, M. Fernandez Ruperez, A. Lapresta Bienz, agentke, skupaj z H.‑G. Kamannom, M. Braunom, F. Louisom, in L. Hessejem, odvetniki,

tožeča stranka,

proti

Evropskemu nadzorniku za varstvo podatkov (ENVP), ki ga zastopajo P. Candellier, X. Lareo in T. Zerdick, agenti,

tožena stranka,

SPLOŠNO SODIŠČE (osmi razširjeni senat),

v sestavi A. Kornezov, predsednik, G. De Baere (poročevalec), D. Petrlík, K. Kecsmár, sodnika in S. Kingston, sodnica,

sodna tajnica: I. Kurme, administratorka,

na podlagi pisnega dela postopka,

na podlagi obravnave z dne 1. decembra 2022

izreka naslednjo

Sodbo

1 Enotni odbor za reševanje (EOR) s tožbo na podlagi člena 263 PDEU predlaga, na eni strani, razglasitev ničnosti revidiranega sklepa Evropskega nadzornika za varstvo podatkov (ENVP) z dne 24. novembra 2020, ki je bil sprejet po vložitvi zahteve EOR za pregled sklepa ENVP z dne 24. junija 2020 v zvezi s petimi pritožbami, ki jih je vložilo več pritožnikov (zadeve 2019–947, 2019–998,
2019–999, 2019–1000 in 2019–112) (v nadaljevanju: revidirani sklep), in na drugi strani, razglasitev nezakonitosti sklepa ENVP z dne 24. junija 2020 (v nadaljevanju: prvotni sklep).

Dejansko stanje

2 Na izvršni seji EOR je bil 7. junija 2017 sprejet Sklep SRB/EES/2017/08 o shemi za reševanje družbe Banco Popular Español, SA (v nadaljevanju: shema za reševanje) na podlagi Uredbe (EU) št. 806/2014 Evropskega parlamenta in Sveta z dne 15. julija 2014 o določitvi enotnih pravil in enotnega postopka za reševanje kreditnih institucij in določenih investicijskih podjetij v okviru enotnega mehanizma za reševanje in enotnega sklada za reševanje ter o spremembi Uredbe (EU) št. 1093/2010 (UL 2014, L 225, str. 1).

3 Evropska komisija je istega dne sprejela Sklep (EU) 2017/1246 o odobritvi sheme za reševanje (UL 2017, L 178, str. 15).

4 EOR je v shemi za reševanje, ker je menil, da so pogoji iz člena 18(1) Uredbe št. 806/2014 izpolnjeni, odločil, da se za družbo Banco Popular Español (v nadaljevanju: Banco Popular) uporabi postopek reševanja. EOR se je odločil odpisati in konvertirati kapitalske instrumente družbe Banco Popular na podlagi člena 21 Uredbe št. 806/2014 ter uporabiti instrument prodaje poslovanja na podlagi člena 24 Uredbe št. 806/2014 s prenosom delnic na kupca.

5 Družba Deloitte je po reševanju družbe Banco Popular 14. junija 2018 EOR predložila vrednotenje razlik pri obravnavi, določeno v členu 20, od (16) do (18), Uredbe št. 806/2014, ki je bilo opravljeno zaradi ugotovitve, ali bi bili delničarji in upniki deležni boljše obravnave, če bi bil za družbo Banco Popular uveden običajni insolvenčni postopek (v nadaljevanju: vrednotenje 3).

6 EOR je 6. avgusta 2018 na svojem spletnem mestu objavil svoje obvestilo z dne 2. avgusta 2018 v zvezi s svojim predhodnim sklepom o tem, ali naj se odobri nadomestilo delničarjem in upnikom, ki so jih prizadeli ukrepi za reševanje v zvezi z družbo Banco Popular, in o začetku postopka v zvezi s pravico do zaslišanja (SRB/EES/2018/132) (v nadaljevanju: predhodni sklep) ter tudi nezaupno različico vrednotenja 3. 7. avgusta 2018 je bila v Uradnem listu Evropske unije (UL 2018, C 277 I, str. 1) objavljena napoved v zvezi z obvestilom EOR.

7 EOR je v predhodnem sklepu navedel, da za to, da bi lahko sprejel končno odločitev o tem, ali naj se delničarjem in upnikom, ki jih je prizadelo reševanje družbe Banco Popular, odobri nadomestilo na podlagi člena 76(1)(e) Uredbe št. 806/2014, slednje poziva, naj izrazijo interes glede izvajanja svoje pravice do izjave na podlagi člena 41(2)(a) Listine Evropske unije o temeljnih pravicah (v nadaljevanju: Listina).

Postopek v zvezi s pravico do izjave

8 EOR je v predhodnem sklepu navedel, da bo postopek v zvezi s pravico do izjave potekal v dveh fazah. V prvi fazi (v nadaljevanju: faza vpisa) so bili prizadeti delničarji in upniki pozvani, naj s spletnim obrazcem do 14. septembra 2018 izrazijo interes glede izvajanja svoje pravice do izjave. Dalje, EOR je moral preveriti, ali ima vsaka stranka, ki je izrazila svoj interes, dejansko status prizadetega delničarja ali upnika. V drugi fazi (v nadaljevanju: faza posvetovanja) so lahko prizadeti delničarji in upniki, katerih status je preveril EOR, predložili svoje pripombe glede predhodnega sklepa, h kateremu je bilo priloženo vrednotenje 3.

9 V fazi vpisa so morali prizadeti delničarji in upniki, ki so želeli uveljavljati svojo pravico do izjave, EOR predložiti dokazila, iz katerih je razvidno, da so imeli na dan reševanja v lasti enega ali več kapitalskih instrumentov družbe Banco Popular, ki so bili odpisani ali konvertirani in v okviru reševanja preneseni na družbo Banco Santander, SA. Dokazila, ki jih je bilo treba predložiti, so vsebovala identifikacijski dokument in dokazilo o lastništvu enega od teh kapitalskih instrumentov na dan 6. junija 2017.

10 EOR je 6. avgusta 2018, ko se je začela faza vpisa, na spletni strani za vpis v postopek v zvezi s pravico do izjave in na svojem spletnem mestu objavil tudi izjavo o varstvu osebnih podatkov v zvezi z obdelavo osebnih podatkov v okviru postopka v zvezi s pravico do izjave (v nadaljevanju: izjava o varstvu osebnih podatkov).

11 EOR je 16. oktobra 2018 na svojem spletnem mestu napovedal, da bodo upravičeni delničarji in upniki od 6. novembra 2018 pozvani, naj v fazi posvetovanja predložijo svoje pisne pripombe glede predhodnega sklepa.

12 EOR je 6. novembra 2018 po elektronski pošti upravičenim delničarjem in upnikom poslal enotno osebno povezavo, ki jim je omogočala dostop do obrazca na spletu (v nadaljevanju: obrazec). Obrazec je vseboval sedem vprašanj z omejenim prostorom za odgovor, ki je prizadetim delničarjem in upnikom omogočal, da pred 26. novembrom 2018 predložijo pripombe v zvezi s predhodnim sklepom in nezaupno različico vrednotenja 3.

13 EOR je preučil upoštevne pripombe prizadetih delničarjev in upnikov v zvezi s predhodnim sklepom. Od družbe Deloitte, kot neodvisnega ocenjevalca, je zahteval, naj oceni zadevne pripombe v zvezi z vrednotenjem 3, naj mu predloži dokument, ki vsebuje njeno oceno, in naj preuči, ali je vrednotenje 3 ob upoštevanju teh pripomb še vedno veljavno.

Obdelava podatkov, ki jih je EOR zbral v okviru postopka v zvezi s pravico do izjave

14 Podatki, zbrani v fazi vpisa, in sicer dokazi o identiteti udeležencev in lastništvu odpisanih ali konvertiranih in prenesenih kapitalskih instrumentov družbe Banco Popular, so bili dostopni omejenemu številu uslužbencev EOR, odgovornih za obdelavo teh podatkov, zato da bi lahko ugotovili upravičenost udeležencev.

15 Ti podatki niso bili vidni uslužbencem EOR, zadolženim za obravnavo pripomb, prejetih v fazi posvetovanja, med katero so prejeli le pripombe, opredeljene s sklicevanjem na alfanumerično kodo, dodeljeno vsaki pripombi, predloženi na obrazcu. Alfanumerična koda je vsebovala 33‑mestni univerzalni edinstveni identifikator, ki je bil naključno ustvarjen ob prejemu odgovorov na obrazcu.

16 EOR je v prvi fazi opravil samodejno filtriranje 23.822 pripomb, opremljenih z edinstveno alfanumerično kodo, in ki jih je predložilo 2855 udeležencev postopka. Dva algoritma sta omogočila, da je bilo 20.101 pripomb opredeljenih kot enakih. Pripomba, ki je bila najprej predložena, je štela za izvirno pripombo, ki je bila preučena v fazi analize, enake pripombe, prejete pozneje, pa so bile opredeljene kot podvajajoče se pripombe.

17 V drugi fazi, in sicer v fazi analize, je EOR preučil pripombe, da bi zagotovil skladnost pri ocenjevanju njihove ustreznosti in kategorizacije oziroma njihovega združevanja v opredeljene teme. EOR je tako opredelil pripombe, ki so si bile podobne, vendar ne enake, in ki so temeljile na istih virih, dostopnih na spletu.

18 Uslužbenci EOR, zadolženi za analizo pripomb, niso imeli dostopa niti do podatkov, zbranih v fazi vpisa – tako da so bile te pripombe ločene od osebnih informacij o osebah, ki so jih predložile – niti do podatkovnega ključa oziroma podatkov, na podlagi katerih je mogoče najti identiteto udeleženca, s sklicevanjem na edinstveno alfanumerično kodo, dodeljeno vsaki pripombi.

19 V tej fazi analize je EOR primerjal vse predložene pripombe in jih razvrstil glede na vprašanje na obrazcu, na katerega so odgovorili. Pripombe so bile nato ocenjene glede na njihovo upoštevnost in razdeljene med, na eni strani, tiste, ki so spadale na področje uporabe postopka v zvezi s pravico do izjave, ker bi lahko vplivale na predhodni sklep oziroma na vrednotenje 3, in, na drugi strani, tiste, ki niso spadale v okvir drugih vidikov reševanja družbe Banco Popular.

20 Pripomba, ki spada na področje uporabe postopka, je bila nato dodeljena eni od petnajstih tem, ki jih je vnaprej določil EOR. Glede na temo, na katero so se nanašale, so bile pripombe razdeljene med tiste, ki bi jih EOR moral preučiti v zvezi s predhodnim sklepom, in tiste, ki bi jih družba Deloitte morala preučiti v zvezi z vrednotenjem 3. EOR med pripombami, ki jih je bilo treba preučiti, ni razlikoval med pripombami, ki so bile posredovane le enkrat, in pripombami, ki so se podvajale.

21 Ob koncu faze analize je EOR opredelil 3730 pripomb, razvrščenih glede na njihovo upoštevnost in temo.

22 EOR je v tretji fazi, fazi preučitve, obravnaval pripombe v zvezi s predhodnim sklepom; pripombe v zvezi z vrednotenjem 3 – in sicer 1104 pripomb – pa so bile družbi Deloitte posredovane 17. junija 2019 prek varnega virtualnega strežnika podatkov pri EOR. EOR je datoteke, ki jih je bilo treba posredovati družbi Deloitte, naložil na virtualni strežnik in omogočil dostop do teh datotek omejenemu in nadzorovanemu številu zaposlenih pri družbe Deloitte, ki so bili neposredno vpleteni v ta projekt.

23 Pripombe, prenesene družbi Deloitte, so bile filtrirane, kategorizirane in združene. Kadar je šlo za kopije prejšnjih pripomb, je bila družbi Deloitte poslana le ena različica, tako da posameznih pripomb, ki so bile ponovljene, ni bilo mogoče razlikovati v okviru iste teme, družba Deloitte pa ni imela možnosti vedeti, ali je pripombo oblikoval eden ali več udeležencev postopka.

24 Pripombe, prenesene družbi Deloitte, so se nanašale le na pripombe, prejete v fazi posvetovanja, in so imele alfanumerično kodo. Prek te kode je bil EOR edini, ki je lahko pripombe povezal s podatki, prejetimi v fazi vpisa. Alfanumerična koda je bila razvita za revizijo, da bi se omogočilo naknadno preverjanje in da se morebiti dokaže, da je bila vsaka pripomba obravnavana in ustrezno upoštevana. Družba Deloitte ni imela, in še vedno nima, dostopa do zbirke podatkov, zbranih v fazi vpisa.

Postopek pred ENVP

25 Prizadeti delničarji in upniki, ki so odgovorili na obrazec, so 19., 26. in 28. oktobra ter 5. decembra 2019 ENVP poslali pet pritožb (zadeve 2019–947, 2019–998, 2019–999, 2019–1000 in 2019–1122) (v nadaljevanju: pet pritožb) na podlagi Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL 2018, L 295, str. 39).

26 Pet pritožnikov (v nadaljevanju: pritožniki) se je sklicevalo na dejstvo, da jih EOR ni obvestil, da bodo podatki, zbrani na podlagi odgovorov na obrazec, posredovani tretjim osebam, in sicer družbama Deloitte in Banco Santander, s čimer naj bi bili kršeni pogoji iz izjave o varstvu osebnih podatkov. Trdili so, da je EOR s tem kršil člen 15(1)(d) Uredbe 2018/1725, v skladu s katerim, „[k]adar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse […] informacije […] [glede] uporabnik[ov] ali kategorij[…] uporabnikov osebnih podatkov, če obstajajo“.

27 ENVP je 12. decembra 2019 EOR obvestil, da je prejel pet pritožb, in ga pozval, naj poda stališče.

28 ENVP je 24. junija 2020 po postopku, v katerem je EOR na zahtevo ENVP in pritožnikov podal stališča, sprejel prvotni sklep. ENVP je menil, da je EOR kršil člen 15 Uredbe 2018/1725, ker pritožnikov v izjavi o varstvu osebnih podatkov ni obvestil o možnosti, da se njihovi osebni podatki posredujejo družbi Deloitte. Zaradi te kršitve je zato EOR izrekel opomin na podlagi člena 58(2)(b) Uredbe 2018/1725.

29 EOR je 22. julija 2020 od ENVP zahteval, naj ponovno preuči prvotni sklep, v skladu s členom 18(1) Sklepa ENVP z dne 15. maja 2020 o sprejetju Poslovnika ENVP (UL 2020, L 204, str. 49). EOR je med drugim predložil podroben opis postopka v zvezi s pravico do izjave in analizo pripomb, ki so jih v fazi posvetovanja predložili štirje od opredeljenih pritožnikov. Trdil je, da informacije, posredovane družbi Deloitte, niso osebni podatki v smislu člena 3, točka 1, Uredbe 2018/1725.

30 ENVP je 5. avgusta 2020 EOR obvestil, da se je glede na nove predložene elemente odločil ponovno preučiti prvotni sklep in da bo sprejel sklep, ki ga bo nadomestil.

31 ENVP je 24. novembra 2020 po postopku ponovne preučitve, v katerem so pritožniki podali stališča, EOR pa je na zahtevo ENVP predložil dodatne informacije, sprejel revidirani sklep.

32 ENVP se je odločil spremeniti prvotni sklep tako:

„1. ENVP meni, da so bili podatki, ki jih je EOR delil z družbo Deloitte, psevdonimizirani podatki, ker so bile pripombe iz faze [posvetovanja] osebni podatki in ker je EOR delil alfanumerično kodo, ki omogoča povezavo odgovorov, prejetih v fazi [vpisa], z odgovori, podanimi v fazi [posvetovanja], čeprav podatki, ki so jih udeleženci predložili, da bi se identificirali v fazi [vpisa], družbi Deloitte niso bili posredovani.

2. ENVP meni, da je bila družba Deloitte uporabnik osebnih podatkov pritožnikov, v smislu člena 3, točka 13, Uredbe 2018/1725. Dejstvo, da družba Deloitte v izjavi EOR o varstvu osebnih podatkov ni bila navedena kot potencialni uporabnik osebnih podatkov, ki jih je EOR kot upravljavec zbral in obdelal v okviru postopka v zvezi s pravico do izjave, pomeni kršitev obveznosti obveščanja iz člena 15(1)(d) [Uredbe 2018/1725].

3. Glede na vse tehnične in organizacijske ukrepe, ki jih je EOR uvedel za zmanjšanje tveganj glede pravice posameznikov do varstva podatkov v okviru postopka v zvezi s pravico do izjave, je ENVP sklenil, da ne bo izvajal svojega pooblastila za sprejetje popravljalnih ukrepov iz člena 58(2) [Uredbe 2018/1725].

4. Kljub temu ENVP priporoča EOR, naj zagotovi, da njegove izjave o varstvu osebnih podatkov v prihodnjih postopkih v zvezi s pravico do izjave zajemajo obdelavo osebnih podatkov v fazi vpisa in v fazi posvetovanja ter da vključujejo vse potencialne uporabnike zbranih podatkov, da se v celoti izpolni obveznost obveščanja posameznikov, na katere se nanašajo osebni podatki, v skladu s členom 15 [Uredbe 2018/1725].“

Predlogi strank

33 EOR po prilagoditvi svojih predlogov Splošnemu sodišču predlaga, naj:

– revidirani sklep razglasi za ničen;

– prvotni sklep razglasi za nezakonit;

– ENVP naloži plačilo stroškov.

34 ENVP Splošnemu sodišču predlaga, naj:

– tožbo zavrne;

– EOR naloži plačilo stroškov.

Pravna presoja

Drugi tožbeni predlog: Splošno sodišče naj „razglasi nezakonitost prvotnega sklepa“

35 V obravnavani zadevi med strankama ni sporno, da je bil prvotni sklep razveljavljen in nadomeščen z revidiranim sklepom.

36 ENVP trdi, da zato tožbeni predlog, ki se nanaša na prvotni sklep, ni dopusten.

37 EOR trdi, da ohranja interes za ugotovitev postopkovnih nepravilnosti, ki so privedle do sprejetja prvotnega sklepa, in sicer kršitve njegove pravice do obrambe in njegove pravice do vpogleda v spis, zato da se ne bi ponovile v prihodnjih postopkih. V svojem odgovoru na ukrep procesnega vodstva je pojasnil, da z drugim tožbenim predlogom ni predlagal razglasitve ničnosti prvotnega sklepa, ki je bil razveljavljen in nadomeščen z revidiranim sklepom z učinkom ex tunc, temveč da naj se ga razglasi za nezakonitega.

38 Ugotoviti je torej treba, da želi EOR z drugim tožbenim predlogom doseči ugotovitveno sodbo, in ne razglasitev ničnosti akta.

39 Zadošča pa opozoriti, da iz ustaljene sodne prakse izhaja, da Splošno sodišče v okviru nadzora nad zakonitostjo na podlagi člena 263 PDEU ni pristojno za izrekanje ugotovitvenih sodb (sodbi z dne 4. februarja 2009, Omya/Komisija, T‑145/06, EU:T:2009:27, točka 23 in navedena sodna praksa, in z dne 13. septembra 2018, DenizBank/Svet, T‑798/14, EU:T:2018:546, točka 135 in navedena sodna praksa).

40 Iz tega sledi, da je treba drugi tožbeni predlog EOR, naj Splošno sodišče „razglasi nezakonitost prvotnega sklepa“, zavreči zaradi nepristojnosti Splošnega sodišča za odločanje o njem.

Dopustnost prvega tožbenega predloga, ki se nanaša na razglasitev ničnosti revidiranega sklepa

41 Dopustnost tožbe spada med absolutne procesne predpostavke, ki jih lahko sodišče Unije kadar koli preizkusi po uradni dolžnosti (glej sodbo z dne 16. marca 2022, MEKH in FGSZ/ACER, T‑684/19 in T‑704/19, EU:T:2022:138, točka 29 in navedena sodna praksa; glej v tem smislu tudi sodbo z dne 24. marca 1993, CIRFS in drugi/Komisija, C‑313/90, EU:C:1993:111, točka 23). Splošno sodišče je v okviru ukrepa procesnega vodstva stranke med drugim vprašalo, ali je revidirani sklep mogoče izpodbijati na podlagi člena 263 PDEU.

42 ENVP je v odgovoru na to vprašanje navedel, da dejstvo, da revidirani sklep vsebuje njegovo končno stališče in ugotovitev kršitve, ne zadostuje za to, da gre za izpodbojni akt. Potrebno bi bilo, da to stališče povzroči spremembo pravnega položaja EOR. Ker ENVP v revidiranem sklepu ni uporabil svojih popravljalnih pooblastil iz člena 58 Uredbe 2018/1725, bi se lahko štelo, da ta sklep – za sodni nadzor na podlagi člena 263 PDEU – nima pravnih učinkov.

43 EOR v odgovoru na isto vprašanje trdi, da revidirani sklep ima pravne učinke, ki lahko posegajo v njegove interese.

44 Iz sodne prakse izhaja, da lahko v skladu s členom 263, četrti odstavek, PDEU fizična ali pravna oseba izpodbija samo akte, ki imajo zavezujoče pravne učinke, ki posegajo v njen interes tako, da znatno spreminjajo njen pravni položaj. Izpodbojni akti tako načeloma pomenijo ukrepe, ki ob koncu upravnega postopka dokončno določijo stališče zadevnega organa, urada ali agencije Unije, in ki povzročijo zavezujoče pravne učinke, ki lahko posegajo v interese tožeče stranke, razen vmesnih ukrepov v postopkih, ki potekajo v več fazah, katerih cilj je priprava končne odločbe in ki nimajo takih učinkov (glej sodbi z dne 25. junija 2020, SatCen/KF, C‑14/19 P, EU:C:2020:492, točki 69 in 70 ter navedena sodna praksa, in z dne 6. maja 2021, ABLV Bank in drugi/ECB, C‑551/19 P in C‑552/19 P, EU:C:2021:369, točka 39 in navedena sodna praksa).

45 Za ugotovitev, ali ima izpodbijani akt take učinke, se je treba osredotočiti na vsebino tega akta in te učinke presojati glede na objektivna merila, kot je vsebina navedenega akta, po potrebi ob upoštevanju okoliščin, v katerih je bil ta akt sprejet, in pristojnosti institucije, organa, urada ali agencije Unije, ki ga je sprejela (glej sodbe z dne 22. aprila 2021, thyssenkrupp Electrical Steel in thyssenkrupp Electrical Steel Ugo/Komisija, C‑572/18 P, EU:C:2021:317, točka 48 in navedena sodna praksa; z dne 6. maja 2021, ABLV Bank in drugi/ECB, C‑551/19 P in C‑552/19 P, EU:C:2021:369, točka 41 in navedena sodna praksa, in z dne 6. oktobra 2021, Tognoli in drugi/Parlament, C‑431/20 P, EU:C:2021:807, točka 34 in navedena sodna praksa).

46 Na prvem mestu je treba opozoriti, da je ENVP revidirani sklep sprejel na podlagi zahteve EOR za ponovno preučitev prvotnega sklepa. Z revidiranim sklepom, ki je bil sprejet po kontradiktornem upravnem postopku, je bil razveljavljen in nadomeščen prvotni sklep in pomeni sklep, s katerim je dokončno določeno stališče ENVP glede petih pritožb.

47 Člen 64(2) Uredbe 2018/1725, ki se nanaša na pravico do učinkovitega pravnega sredstva, pa določa, da se tožbe zoper odločitve ENVP lahko vložijo pri Sodišču Evropske unije.

48 Natančneje, člen 18 Poslovnika ENVP, na podlagi katerega je bil sprejet revidirani sklep, v odstavku 3 med drugim določa:

„Kadar ENVP na podlagi zahteve za ponovno preučitev odločitve izda novo, popravljeno odločbo [revidirani sklep], zadevnega pritožnika in zadevno institucijo obvesti, da lahko novo odločbo izpodbijata pred Sodiščem Evropske unije v skladu s členom 263 [PDEU].“

49 V zvezi s tem je v spremnem dopisu k revidiranemu sklepu, ki je bil poslan EOR, navedeno:

„Upoštevajte, da ta sklep razveljavlja in nadomešča sklep, sprejet 24. junija 2020. Zoper ta sklep lahko vložite ničnostno tožbo pri Sodišču Evropske unije v dveh mesecih od sprejetja tega sklepa in pod pogoji iz člena 263 [PDEU].“

50 Na drugem mestu je treba v zvezi z vsebino revidiranega sklepa opozoriti, na eni strani, da je ENVP ugotovil, da je EOR kršil obveznost obveščanja iz člena 15(1)(d) Uredbe 2018/1725, in, na drugi strani, da mu je v bistvu priporočil, naj v prihodnjih izjavah o varstvu osebnih podatkov zagotovi, da se taka kršitev ne bo ponovila.

51 Na eni strani je treba poudariti, da je na podlagi člena 65 Uredbe 2018/1725 zaradi takšne kršitve mogoče uveljavljati odgovornost EOR kot upravljavca zadevnih podatkov, če so izpolnjeni drugi pogoji, določeni v Pogodbah.

52 Na drugi strani ENVP na podlagi člena 66(1) Uredbe 2018/1725 pri odločanju o tem, ali se instituciji ali organu Unije naloži upravna globa, ter o višini te globe, med drugim upošteva vse podobne prejšnje kršitve institucije ali organa Unije. Če torej EOR ne bi upošteval priporočila ENVP, naj v prihodnje v postopkih v zvezi s pravico do izjave spremeni svoje izjave o varstvu osebnih podatkov, bi bilo mogoče ugotoviti podobno kršitev člena 15(1)(d) Uredbe 2018/1725 od EOR, to pa bi pripeljalo do naložitve globe.

53 Iz tega sledi, da ima ugotovitev v revidiranem sklepu, da je EOR kršil člen 15(1)(d) Uredbe 2018/1725, zavezujoče pravne učinke, čeprav je ENVP navedel, da ne bo izvajal svojega pooblastila za sprejetje popravljalnih ukrepov iz člena 58(2) Uredbe 2018/1725.

54 Glede na navedeno je revidirani sklep akt Unije, ki lahko posega v interese njegovega naslovnika tako, da bistveno spremeni njegov pravni položaj. Je torej izpodbojni akt v smislu člena 263 PDEU.

55 Zato je treba ugotoviti, da je prvi tožbeni predlog, ki se nanaša na razglasitev ničnosti revidiranega sklepa, dopusten.

Vsebinska presoja

56 EOR v utemeljitev tožbe navaja dva tožbena razloga. Prvi tožbeni razlog se nanaša na kršitev člena 3, točka 1, Uredbe 2018/1725, ker naj informacije, posredovane družbi Deloitte, ne bi bile osebni podatki. Drugi tožbeni razlog se nanaša na kršitev pravice do dobrega upravljanja iz člena 41 Listine.

57 EOR s prvim tožbenim razlogom trdi, da je ENVP kršil člen 3, točka 1, Uredbe 2018/1725 s tem, da je v revidiranem sklepu menil, da so informacije, posredovane družbi Deloitte, osebni podatki pritožnikov.

58 V členu 3, točka 1, Uredbe 2018/1725 je določeno, da se pojem osebnih podatkov nanaša na „katero koli informacijo v zvezi z določenim ali določljivim posameznikom […]; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika“.

59 Iz te opredelitve je razvidno, da je informacija osebni podatek, zlasti če sta izpolnjena dva kumulativna pogoja, in sicer, prvič, da je ta informacija „v zvezi s“ posameznikom, in drugič, da je ta posameznik „določen ali določljiv“.

Pogoj iz člena 3, točka 1, Uredbe 2018/1725, v skladu s katerim gre za informacije „v zvezi s“ posameznikom

60 EOR trdi, da pripombe, ki so bile prejete v fazi posvetovanja in poslane družbi Deloitte, niso bile v zvezi z določeno osebo v smislu člena 3, točka 1, Uredbe 2018/1725. Meni, da se razlogovanje iz sodbe z dne 20. decembra 2017, Nowak (C‑434/16, EU:C:2017:994), ne uporablja za pripombe pritožnikov. Trdi, da so bili podatki, vsebovani v pripombah pritožnikov, dejanske in pravne informacije, ki so neodvisne od oseb ali osebnih lastnosti pritožnikov in niso bile povezane z njihovim zasebnim življenjem. Meni, da je bil namen postopka v zvezi s pravico do izjave oceniti dejanske in pravne trditve v zvezi s predhodnim sklepom in vrednotenjem 3, ki so jih predložile številne zainteresirane strani, katerih osebnost in identiteta nista bili pomembni za oceno njihovih pripomb.

61 ENVP trdi, da je vsebina pripomb prizadetih delničarjev in upnikov podatek, ki se „nanaša“ nanje, saj so njihovi odgovori vsebovali in izražali njihovo osebno stališče, čeprav so temeljili na javno dostopnih podatkih. Odgovori pritožnikov in drugih udeležencev na obrazcu naj bi bili osebni podatki, ne glede na to, ali gre za izvirno stališče ali za stališče, ki se deli z drugimi, in neodvisno od vprašanja, ali jih EOR šteje za podatke, ki so neodvisni od posebnih pravic prizadetih delničarjev in upnikov na področju spoštovanja zasebnosti.

62 ENVP tudi meni, da so pripombe osebni podatki, zaradi njihovega učinka. Presoja teh pripomb, katere namen je bil preveriti veljavnost vrednotenja 3 in zakonitost predhodnega sklepa, bi lahko vplivala na interese in pravice udeležencev v zvezi s finančnim nadomestilom. Nazadnje trdi, da je bil namen zbiranja pripomb vsaki stranki podeliti procesne pravice, da bi se zbrala stališča posameznikov.

63 ENVP je v revidiranem sklepu navedel, da so odgovori, ki so bili prejeti v fazi posvetovanja, osebni podatki pritožnikov, saj so vsebovali njihova osebna stališča in so zato pomenili podatke, ki se nanašajo nanje, čeprav so jih pritožniki – da bi izrazili svoja stališča – utemeljili z javno dostopnimi podatki. Menil je, da okoliščina, da so pritožniki izrazili podobna – vendar ne enaka – stališča, kot so jih izrazili drugi udeleženci, ne pomeni, da njihovi odgovori ne odražajo njihovega mnenja. ENVP je zato menil, da je treba vse odgovore pritožnikov in drugih udeležencev, ki so bili podani v poljih s prostim besedilom, šteti za osebne podatke, ne glede na to, ali gre za izvirno in edinstveno stališče ali pa za stališče, ki se deli z drugimi oziroma temelji ali izhaja iz javno dostopnih podatkov. Dodal je, da ta ugotovitev ni v nasprotju s sodbo z dne 20. decembra 2017, Nowak (C‑434/16, EU:C:2017:994), v kateri Sodišče ni razlikovalo med odgovori, ki so jih v celoti pripravili anketiranci, in odgovori, pridobljenimi iz drugih virov.

64 Preučiti je treba, ali je ENVP lahko upravičeno menil, da so bili podatki, posredovani družbi Deloitte, „v zvezi s“ posameznikom v smislu člena 3, točka 1, Uredbe 2018/1725.

65 Najprej je treba ugotoviti, da je ENVP v revidiranem sklepu kot osebne podatke opredelil vse pripombe, ki so jih izrazili prizadeti delničarji in upniki v okviru faze posvetovanja, in svoje presoje ni omejil zgolj na podatke, ki so bili posredovani družbi Deloitte.

66 Ker pa se je kršitev člena 15(1)(d) Uredbe 2018/1725, ki je bila ugotovljena v revidiranem sklepu, nanašala le na to, da EOR v izjavi o varstvu osebnih podatkov ni navedel, da bo družba Deloitte potencialni uporabnik nekaterih podatkov, se je treba omejiti na preučitev, ali so bili podatki, posredovani družbi Deloitte, osebni podatki v smislu člena 3, točka 1, Uredbe 2018/1725.

67 V zvezi s tem člen 3, točka 13, Uredbe 2018/1725 opredeli „uporabnika“ kot „fizično ali pravno osebo, javni organ, agencijo ali drug organ, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne.“

68 V skladu s sodno prakso uporaba izrazov ,,katera koli informacija“ v opredelitvi pojma „osebni podatek“ iz člena 3, točka 1, Uredbe 2018/1725 odraža cilj zakonodajalca Unije, da temu pojmu da širok pomen, ki ni omejen na občutljive informacije ali informacije iz zasebne sfere, temveč morda vključuje raznovrstne informacije, tako objektivne kot subjektivne v obliki mnenj ali presoj, če se te „nanašajo“ na zadevno osebo (glej po analogiji sodbo z dne 20. decembra 2017, Nowak, C‑434/16, EU:C:2017:994, točka 34).

69 Sodišče je v zvezi z zadnjenavedenim pogojem razsodilo, da je slednji izpolnjen, če je informacija zaradi svoje vsebine, namena ali učinka povezana z določeno osebo (sodba z dne 20. decembra 2017, Nowak, C‑434/16, EU:C:2017:994, točka 35).

70 Vendar ENVP v revidiranem sklepu ni preučil ne vsebine, ne namena, ne učinka informacij, posredovanih družbi Deloitte.

71 Navedel je namreč le, da pripombe, ki so jih pritožniki predložili v fazi posvetovanja, izražajo njihova mnenja ali stališča, in zgolj na tej podlagi sklenil, da pomenijo informacije, ki se nanašajo nanje, kar zadostuje za to, da se opredelijo kot osebni podatki.

72 ENVP je na obravnavi potrdil, da je po njegovem mnenju vsako osebno mnenje osebni podatek. Prav tako je priznal, da ni preučil vsebine pripomb, ki so jih pritožniki predložili v fazi posvetovanja.

73 Res je, da ni mogoče izključiti, da so osebni vidiki ali mnenja osebni podatki. Vendar je iz točk 34 in 35 sodbe z dne 20. decembra 2017, Nowak (C‑434/16, EU:C:2017:994), navedenih v točkah 68 in 69 zgoraj, razvidno, da taka ugotovitev ne more temeljiti na domnevi, kot je opisana v točkah 71 in 72 zgoraj, ampak se mora opreti na preverjanje, ali je stališče glede na svojo vsebino, namen ali učinek povezano z določeno osebo.

74 Iz tega sledi, da ENVP, ker take preučitve ni opravil, ni mogel ugotoviti, da so informacije, posredovane družbi Deloitte, informacije, ki so „v zvezi s“ posameznikom v smislu člena 3, točka 1, Uredbe 2018/1725.

75 Splošno sodišče bo zato preučilo presojo ENVP v zvezi z vprašanjem, ali so informacije, poslane družbi Deloitte, v zvezi z „določenim ali določljivim“ posameznikom.

Pogoj iz člena 3, točka 1, Uredbe 2018/1725, v skladu s katerim se informacije nanašajo na „določenega ali določljivega“ posameznika

76 EOR trdi, da v nasprotju s tem, kar je menil ENVP, posredovanje alfanumerične kode družbi Deloitte ni privedlo do „psevdonimizacije“ podatkov. Ti naj bi ostali anonimni, ker naj EOR družbi Deloitte ne bi posredoval informacij, na podlagi katerih bi bilo mogoče ponovno identificirati avtorje pripomb.

77 EOR trdi, da bi bili podatki za tretjo osebo anonimizirani, tudi če informacija, ki omogoča ponovno identifikacijo, ne bi bila nepreklicno izbrisana in bi jo hranil prvotni obdelovalec, saj format, v katerem so podatki posredovani tej tretji osebi, ne omogoča več identifikacije avtorja pripomb oziroma identifikacije ne izkaže za razumno verjetno. EOR trdi, da v nasprotju s tem, kar je ENVP menil v revidiranem sklepu, Uredba 2018/1725 in sodna praksa Sodišča zahtevata oceno tveganja ponovne identifikacije.

78 Natančneje, EOR trdi, da pogoji, določeni s sodno prakso Sodišča v zvezi z obstojem tveganja ponovne identifikacije, kadar vseh informacij, ki bi lahko omogočile identifikacijo, ne hrani ena sama oseba, temveč več strank, v obravnavani zadevi niso izpolnjeni. Na eni strani naj alfanumerična koda, dodeljena posameznim pripombam, družbi Deloitte ne bi omogočala ponovne identifikacije oseb, ki so predložile pripombe. Dodatne informacije, navedene v členu 3, točka 6, Uredbe 2018/1725, naj bi ustrezale podatkovni zbirki, ki omogoča dekodiranje, do katere naj bi imel dostop le EOR. Na drugi strani naj družba Deloitte glede merila razumne verjetnosti kombinacije informacij ne bi imela, in še vedno nima, pravnih sredstev za dostop do dodatnih podatkov in za identifikacijo.

79 ENVP trdi, da dejstvo, da družba Deloitte ni imela dostopa do informacij, ki jih je imel EOR in ki omogočajo ponovno identifikacijo, ne pomeni, da so „psevdonimizirani“ podatki, ki so bili posredovani družbi Deloitte, postali anonimni podatki. Ne bi bilo treba ugotoviti, ali je družba Deloitte avtorje informacij, ki so ji bile posredovane, lahko ponovno identificirala, oziroma je bila ta ponovna identifikacija razumno verjetna. Podatki naj bi ostali „psevdonimizirani“ tudi takrat, ko so posredovani tretji osebi, ki naj ne bi imela dodatnih informacij.

80 ENVP trdi, da uporaba izraza „posredno“ v členu 3, točka 1, Uredbe 2018/1725 pomeni, da za opredelitev informacije kot osebni podatek ni nujno, da ta informacija sama po sebi omogoča identifikacijo posameznika, na katerega se nanašajo osebni podatki. Poleg tega naj se glede sredstev, za katera se razumno pričakuje, da jih bo uporabil tako upravljavec kot katera koli druga oseba, ne bi zahtevalo, da morajo biti vse informacije, ki omogočajo identifikacijo posameznika, na katerega se nanašajo osebni podatki, v rokah samo ene osebe.

81 ENVP je v revidiranem sklepu menil, da so informacije, ki so bile posredovane družbi Deloitte, „psevdonimizirani“ podatki. V zvezi s tem je navedel, da je razlika med „psevdonimiziranimi“ in anonimnimi podatki v tem, da v primeru anonimnih podatkov ni bilo „dodatnih informacij“, ki bi jih bilo mogoče uporabiti za to, da se podatki pripišejo določenemu posamezniku, medtem ko so v primeru „psevdonimiziranih“ podatkov takšne dodatne informacije obstajale. Zato je bilo treba za oceno, ali so bili podatki anonimni ali „psevdonimizirani“, preučiti, ali so obstajale „dodatne informacije“, ki bi jih bilo mogoče uporabiti za to, da se podatki pripišejo določenim posameznikom.

82 Navedel je, da EOR družbi Deloitte ni posredoval le nekaterih pripomb prizadetih delničarjev in upnikov, ampak tudi ustrezno alfanumerično kodo, in da družba Deloitte ni imela dostopa do odgovorov, podanih v fazi vpisa. Navedel je, da – kot je pojasnil EOR – „družba Deloitte z uporabo te kode in s sklicevanjem na konkretne podatke, ki so jih predložile upravičene stranke v fazi registracije (in ki jih še vedno hrani EOR), ni mogla ugotoviti identitete posamezne stranke“. Vendar je ENVP menil, da so podatki, predloženi v fazi vpisa, skupaj z edinstvenim identifikatorjem, in sicer alfanumerično kodo, dodeljeno vsakemu upravičenemu udeležencu, popoln primer „dodatnih informacij“ v smislu člena 3, točka 6, Uredbe 2018/1725, saj jih EOR lahko uporabi za to, da podatke pripiše določenemu posamezniku.

83 ENVP je pojasnil, da Uredba 2018/1725 ne razlikuje med tistimi, ki hranijo „psevdonimizirane“ podatke, in tistimi, ki imajo dodatne informacije, ter da „psevdonimizirani“ podatki zaradi dejstva, da gre za različne subjekte, ne postanejo anonimni. Dodal je, da dejstvo, da družba Deloitte sama ni mogla povezati pripomb s podatki, ki so bili prejeti v fazi vpisa, ne izključuje tega, da so bili podatki, ki jih je prejela, „psevdonimizirani“. ENVP meni, da so bili podatki, ki jih je EOR delil z družbo Deloitte, „psevdonimizirani“ podatki, ker so bile pripombe, ki so bile prejete v fazi posvetovanja, osebni podatki in ker je EOR delil alfanumerično kodo, na podlagi katere je bilo mogoče povezati odgovore, prejete v fazi vpisa, z dogovori, prejetimi v fazi posvetovanja, čeprav podatki, ki so jih udeleženci predložili, da bi se identificirali v fazi vpisa, družbi Deloitte niso bili posredovani. Na podlagi tega je ugotovil, da so bile informacije, posredovane družbi Deloitte, „psevdonimizirani“ podatki in zato osebni podatki v smislu člena 3, točka 1, Uredbe 2018/1725.

84 Najprej je treba poudariti, da se glede na mehanizme, ki jih je EOR vzpostavil v zvezi z obdelavo podatkov, zbranih v okviru postopka v zvezi s pravico do izjave, ki so opisani v točkah od 14 do 24 zgoraj, informacije, posredovane družbi Deloitte, niso nanašale na „določene“ posameznike.

85 Preučiti je torej treba, ali je ENVP lahko upravičeno menil, da se informacije, posredovane družbi Deloitte, nanašajo na „določljivega“ posameznika v smislu člena 3, točka 1, Uredbe 2018/1725.

86 V skladu s to določbo je „določljiv posameznik“ fizična oseba, ki jo je mogoče neposredno ali posredno določiti.

87 V uvodni izjavi 16 Uredbe 2018/1725 je navedeno:

„[…] Osebne podatke, ki so bili psevdonimizirani in ki jih je mogoče z uporabo dodatnih informacij pripisati posamezniku, bi bilo treba obravnavati kot informacije o določljivem posamezniku. Pri ugotavljanju, ali je posameznik določljiv, bi bilo treba upoštevati vsa sredstva – kot je na primer izločitev – za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za neposredno ali posredno identifikacijo posameznika. Da bi ugotovili, ali se za ta sredstva lahko razumno pričakuje, da bodo uporabljena za identifikacijo posameznika, bi bilo treba upoštevati vse objektivne dejavnike, kot so stroški identifikacije in čas, potreben zanjo, ter pri tem upoštevati razpoložljivo tehnologijo in tehnološki razvoj v času obdelave […]“

88 Poudariti je treba, da je Sodišče v sodbi z dne 19. oktobra 2016, Breyer (C‑582/14, EU:C:2016:779), podalo razlago pojma osebni podatek v smislu člena 2(a) Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355), ki vsebuje določbo, enakovredno členu 3, točka 1, Uredbe 2018/1725.

89 V tej zadevi se je postavljalo vprašanje, ali je dinamični naslov internetnega protokola (v nadaljevanju: IP‑naslov) osebni podatek v razmerju do ponudnika storitev spletnih medijev, ki ga je shranil. Sodišče je menilo, da je treba preveriti, ali je ta IP‑naslov mogoče opredeliti kot informacijo, ki se nanaša na „določljivega posameznika“, ob upoštevanju, na eni strani, dejstva, da ta naslov temu ponudniku sam po sebi ne daje možnosti, da identificira uporabnika, ki je dostopal do tega spletnega mesta, in, na drugi strani, dejstva, da ima potrebne dodatne informacije, ki bi skupaj s tem IP‑naslovom omogočile identifikacijo navedenega uporabnika, ponudnik dostopa do interneta.

90 Ker se uvodna izjava 16 Uredbe 2018/1725 nanaša na sredstva, za katera se razumno pričakuje, da jih bo uporabil tako upravljavec kot tudi „katera koli druga oseba“, je na podlagi tega besedila mogoče sklepati, da za to, da se neki podatek lahko opredeli kot „osebni podatek“ v smislu člena 3, točka 1, Uredbe 2018/1725, ni nujno, da se vse informacije, ki omogočajo identifikacijo posameznika, na katerega se nanašajo osebni podatki, znajdejo v rokah samo ene osebe (glej po analogiji sodbo z dne 19. oktobra 2016, Breyer, C‑582/14, EU:C:2016:779, točka 43).

91 Vendar je Sodišče dodalo, da dejstvo, da dodatnih informacij, potrebnih za identifikacijo uporabnika spletnega mesta, nima ponudnik storitev spletnih medijev, ampak ponudnik dostopa do interneta tega uporabnika, tako ne izključuje, da dinamični IP‑naslovi, ki jih zabeleži ponudnik storitev spletnih medijev, zanj pomenijo osebne podatke (sodba z dne 19. oktobra 2016, Breyer, C‑582/14, EU:C:2016:779, točka 44).

92 Vendar je Sodišče menilo, da je treba ugotoviti, ali možnost, da se dinamični IP‑naslov poveže s temi dodatnimi informacijami, ki jih ima ta ponudnik dostopa do interneta, pomeni sredstvo, za katero se razumno pričakuje, da se bo uporabilo za identifikacijo posameznika, na katerega se nanašajo osebni podatki (sodba z dne 19. oktobra 2016, Breyer, C‑582/14, EU:C:2016:779, točka 45).

93 Sodišče je navedlo, da to ne bi bilo tako, če bi bila identifikacija posameznika, na katerega se nanašajo osebni podatki, prepovedana z zakonom ali praktično neizvedljiva zaradi, na primer, pretiranega truda z vidika časa ter človeških in finančnih virov, tako da bi se tveganje identifikacije dejansko zdelo nepomembno (sodba z dne 19. oktobra 2016, Breyer, C‑582/14, EU:C:2016:779, točka 46).

94 V obravnavanem primeru ni sporno, na eni strani, da alfanumerična koda, vsebovana v informacijah, posredovanih družbi Deloitte, sama po sebi ni omogočala identifikacije avtorjev pripomb, in, na drugi strani, da družba Deloitte ni imela dostopa do podatkov, ki omogočajo individualno prepoznavanje, pridobljenih v fazi vpisa, na podlagi katerih bi bilo mogoče udeležence zaradi alfanumerične kode povezati z njihovimi pripombami.

95 ENVP je navedel v revidiranem sklepu, na obravnavi pa potrdil, da dodatne informacije, potrebne za identifikacijo avtorjev pripomb, zajemajo alfanumerično kodo in zbirko podatkov, ki omogočajo individualno prepoznavanje.

96 Kot sicer trdi ENVP, ob upoštevanju točke 43 sodbe z dne 19. oktobra 2016, Breyer (C‑582/14, EU:C:2016:779), navedene v točki 90 zgoraj, zaradi dejstva, da dodatnih informacij, potrebnih za identifikacijo avtorjev pripomb, prejetih v fazi posvetovanja, ni imela družba Deloitte, ampak EOR, ni mogoče a priori izključiti, da so informacije, ki so bile posredovane družbi Deloitte, zanjo pomenile osebne podatke.

97 Vendar je iz sodbe z dne 19. oktobra 2016, Breyer (C‑582/14, EU:C:2016:779), prav tako razvidno, da je treba za ugotovitev, ali gre v primeru informacij, ki so bile posredovane družbi Deloitte, za osebne podatke, izhajati z vidika zadnjenavedene, da se ugotovi, ali se informacije, ki so ji bile posredovane, nanašajo na „določljive osebe“.

98 Spomniti je namreč treba, prvič, da se je kršitev člena 15(1)(d) Uredbe 2018/1725, ki jo je ENVP ugotovil v revidiranem sklepu, nanašala na prenos EOR nekaterih pripomb na družbo Deloitte, in ne le na to, da je EOR s temi pripombami razpolagal.

99 Drugič, po eni strani je položaj družbe Deloitte mogoče primerjati s položajem ponudnika storitev spletnih medijev iz sodbe z dne 19. oktobra 2016, Breyer (C‑582/14, EU:C:2016:779), ker je imela na voljo informacije, in sicer pripombe v zvezi z vrednotenjem 3, ki niso bile informacije, ki se nanašajo na „določenega posameznika“, saj alfanumerična koda, vsebovana v vsakem odgovoru, ni omogočala neposrednega razkritja identitete posameznika, ki je izpolnil obrazec. Po drugi strani je položaj EOR mogoče primerjati s položajem ponudnika dostopa do interneta v tej zadevi, saj ni sporno, da je bil edini, ki je imel na voljo dodatne informacije, ki so omogočale identifikacijo prizadetih delničarjev in upnikov, ki so odgovorili na obrazec, in sicer alfanumerično kodo in zbirko podatkov, ki omogočajo individualno prepoznavanje.

100 Zato bi moral ENVP na podlagi točke 44 sodbe z dne 19. oktobra 2016, Breyer (C‑582/14, EU:C:2016:779), navedene v točki 91 zgoraj, preučiti, ali so pripombe, posredovane družbi Deloitte – v zvezi s to družbo – osebni podatki.

101 Trditev ENVP – da ni bilo treba raziskati, ali je družba Deloitte avtorje informacij, ki so ji bile posredovane, lahko ponovno identificirala oziroma ali je bila ta ponovna identifikacija razumno mogoča – je zato napačna.

102 Ugotoviti je treba, da je ENVP v revidiranem sklepu menil, da dejstvo, da je imel EOR dodatne informacije, na podlagi katerih je bilo mogoče ponovno identificirati avtorje pripomb, zadostuje za ugotovitev, da so bile informacije, ki so bile posredovane družbi Deloitte, osebni podatki, pri čemer je priznal, da podatki, ki omogočajo individualno prepoznavanje in ki so bili prejeti v fazi vpisa, niso bili posredovani družbi Deloitte.

103 Iz revidiranega sklepa tako izhaja, da se je ENVP omejil na preučitev možnosti ponovne identifikacije avtorjev pripomb s stališča EOR, ne pa s stališča družbe Deloitte.

104 Iz točke 45 sodbe z dne 19. oktobra 2016, Breyer (C‑582/14, EU:C:2016:779), navedene v točki 92 zgoraj, pa izhaja, da bi moral ENVP ugotoviti, ali gre v primeru možnosti povezave informacij, ki so bile posredovane družbi Deloitte, z dodatnimi informacijami, ki jih ima na voljo EOR, za sredstvo, ki ga družba Deloitte lahko razumno uporabi za identifikacijo avtorjev pripomb.

105 Ker ENVP ni preveril, ali ima družba Deloitte v praksi na voljo zakonita in izvedljiva sredstva, ki bi ji omogočala dostop do dodatnih informacij, potrebnih za ponovno identifikacijo avtorjev pripomb, ENVP torej ni mogel ugotoviti, da gre v primeru informacij, ki so bile posredovane družbi Deloitte, za informacije, ki se nanašajo na „določljivega posameznika“ v smislu člena 3, točka 1, Uredbe 2018/1725.

106 Iz vsega navedenega izhaja, da je treba prvemu tožbenemu razlogu ugoditi in zato revidirani sklep razglasiti za ničen, ne da bi bilo treba preučiti drugi tožbeni razlog.

Stroški

107 V skladu s členom 134(1) Poslovnika Splošnega sodišča se plačilo stroškov na predlog naloži neuspeli stranki.

108 Ker ENVP s svojimi predlogi v bistvenem ni uspel, se mu v skladu s predlogi EOR naloži plačilo stroškov.

Iz teh razlogov je

SPLOŠNO SODIŠČE (osmi razširjeni senat)

razsodilo:

1. Revidirani sklep Evropskega nadzornika za varstvo podatkov (ENVP) z dne 24. novembra 2020, ki je bil sprejet po vložitvi zahteve EOR za pregled sklepa ENVP z dne 24. junija 2020 v zvezi s petimi pritožbami, ki jih je vložilo več pritožnikov (zadeve 2019–947, 2019–998, 2019–999, 2019–1000 in 2019–112), se razglasi za ničen.

2. V preostalem se tožba zavrne.

3. ENVP se naloži plačilo stroškov.

Kornezov

De Baere

Petrlík

Kecsmár

Kingston

Razglašeno na javni obravnavi v Luxembourgu, 26. aprila 2023.

Podpisi

* Jezik postopka: angleščina.