ROZSUDOK VŠEOBECNÉHO SÚDU (ôsma rozšírená komora)
z 26. apríla 2023 (*)
„Ochrana osobných údajov – Konanie o vyplatení náhrady akcionárom a veriteľom v nadväznosti na riešenie krízovej situácie bankovej inštitúcie – Rozhodnutie EDPS, v ktorom sa konštatuje porušenie povinností týkajúcich sa spracúvania osobných údajov zo strany SRB – Článok 15 ods. 1 písm. d) nariadenia (EÚ) 2018/1725 – Pojem ‚osobné údaje‘ – Článok 3 bod 1 nariadenia 2018/1725 – Právo na prístup k spisu“
Vo veci T‑557/20,
Jednotná rada pre riešenie krízových situácií (SRB), v zastúpení: H. Ehlers, M. Fernández Ruperez, A. Lapresta Bienz, splnomocnené zástupkyne, za právnej pomoci H.‑G. Kamann, M. Braun, F. Louis a L. Hesse, advokáti,
žalobkyňa,
proti
Európskemu dozornému úradníkovi pre ochranu údajov (EDPS), v zastúpení: P. Candellier, X. Lareo a T. Zerdick, splnomocnení zástupcovia,
žalovanému,
VŠEOBECNÝ SÚD (ôsma rozšírená komora),
na poradách v zložení: predseda A. Kornezov, sudcovia G. De Baere (spravodajca), D. Petrlík, K. Kecsmár a S. Kingston,
tajomník: I. Kurme, referentka,
so zreteľom na písomnú časť konania,
po pojednávaní z 1. decembra 2022,
vyhlásil tento
Rozsudok
1 Svojou žalobou podľa článku 263 ZFEÚ sa Jednotná rada pre riešenie krízových situácií (SRB) domáha na jednej strane zrušenia revidovaného rozhodnutia Európskeho dozorného úradníka pre ochranu údajov (EDPS) z 24. novembra 2020 prijatého na základe žiadosti SRB o preskúmanie rozhodnutia EDPS z 24. júna 2020 týkajúceho sa piatich sťažností podaných niekoľkými sťažovateľmi (veci 2019‑947, 2019‑998, 2019‑999, 2019‑1000 a 2019‑1122) (ďalej len „revidované rozhodnutie“) a na druhej strane vyhlásenia nezákonnosti rozhodnutia EDPS z 24. júna 2020 (ďalej len „pôvodné rozhodnutie“).
Okolnosti predchádzajúce sporu
2 Dňa 7. júna 2017 SRB prijala na svojom výkonnom zasadnutí rozhodnutie SRB/EES/2017/08 o programe riešenia krízovej situácie, ktorý sa týka Banco Popular Español, SA (ďalej len „program riešenia“), a to na základe nariadenia Európskeho parlamentu a Rady (EÚ) č. 806/2014 z 15. júla 2014, ktorým sa stanovujú jednotné pravidlá a jednotný postup riešenia krízových situácií úverových inštitúcií a určitých investičných spoločností v rámci jednotného mechanizmu riešenia krízových situácií a jednotného fondu na riešenie krízových situácií a ktorým sa mení nariadenie (EÚ) č. 1093/2010 (Ú. v. EÚ L 225, 2014, s. 1).
3 V ten istý deň Európska komisia prijala rozhodnutie (EÚ) 2017/1246, ktorým sa schvaľuje program riešenia krízovej situácie (Ú. v. EÚ L 178, 2017, s. 15).
4 V programe riešenia SRB vzhľadom na to, že podmienky stanovené v článku 18 ods. 1 nariadenia č. 806/2014 boli splnené, rozhodla, že krízová situácia Banco Popular Español (ďalej len „Banco Popular“) sa začne riešiť. SRB sa rozhodla odpísať a konvertovať kapitálové nástroje Banco Popular podľa článku 21 nariadenia č. 806/2014 a uplatniť nástroj odpredaja obchodnej činnosti podľa článku 24 nariadenia č. 806/2014 prevodom akcií na kupujúceho.
5 V nadväznosti na riešenie krízovej situácie Banco Popular spoločnosť Deloitte predložila SRB 14. júna 2018 ocenenie rozdielu v zaobchádzaní, upravené v článku 20 ods. 16 až 18 nariadenia č. 806/2014, ktoré vykonala s cieľom určiť, či by sa s akcionármi a veriteľmi zaobchádzalo lepšie, keby bola banka Banco Popular predmetom bežného insolvenčného konania (ďalej len „ocenenie 3“).
6 Dňa 6. augusta 2018 SRB uverejnila na svojej internetovej stránke svoje stanovisko z 2. augusta 2018, ktoré sa týkalo jej predbežného rozhodnutia o otázke, či je alebo nie je potrebné priznať akcionárom a veriteľom dotknutým opatreniami na riešenie krízovej situácie Banco Popular náhradu, a o postupe práva na vypočutie (SRB/EES/2018/132) (ďalej len „predbežné rozhodnutie“), ako aj nedôvernú verziu ocenenia 3. Oznámenie o stanovisku SRB bolo 7. augusta 2018 uverejnené v Úradnom vestníku Európskej únie (Ú. v. EÚ C 277 I, 2018, s. 1).
7 V predbežnom rozhodnutí SRB uviedla, že aby mohla prijať konečné rozhodnutie o tom, či je alebo nie je potrebné priznať akcionárom a veriteľom dotknutým riešením krízovej situácie Banco Popular náhradu podľa článku 76 ods. 1 písm. e) nariadenia č. 806/2014, vyzýva ich, aby vyjadrili svoj záujem o uplatnenie svojho práva na vypočutie podľa článku 41 ods. 2 písm. a) Charty základných práv Európskej únie.
O postupe týkajúcom sa práva na vypočutie
8 V predbežnom rozhodnutí SRB uviedla, že postup týkajúci sa práva na vypočutie sa uskutoční v dvoch fázach. V prvej fáze (ďalej len „fáza registrácie“) boli dotknutí akcionári a veritelia vyzvaní, aby vyjadrili svoj záujem o uplatnenie svojho práva na vypočutie prostredníctvom online registračného formulára, a to do 14. septembra 2018. Potom SRB musela overiť, či každá strana, ktorá prejavila záujem, mala skutočne postavenie dotknutého akcionára alebo veriteľa. V druhej fáze (ďalej len „fáza konzultácie“) mohli dotknutí akcionári a veritelia, ktorých postavenie SRB overila, predložiť svoje pripomienky k predbežnému rozhodnutiu, ku ktorému bolo pripojené ocenenie 3.
9 Počas fázy registrácie museli dotknutí akcionári a veritelia, ktorí chceli uplatniť svoje právo na vypočutie, predložiť SRB dôkazy preukazujúce, že v čase riešenia krízovej situácie vlastnili jeden alebo viacero kapitálových nástrojov Banco Popular, ktoré boli v rámci riešenia krízovej situácie odpísané alebo konvertované a prevedené na Banco Santander, SA. Dôkazy, ktoré sa mali poskytnúť, zahŕňali doklad totožnosti a dôkaz o vlastníctve jedného z týchto kapitálových nástrojov k 6. júnu 2017.
10 V deň začatia fázy registrácie, 6. augusta 2018, SRB uverejnila na internetovej stránke registrácie ku konaniu týkajúcemu sa práva na vypočutie a na svojej internetovej stránke vyhlásenie o ochrane osobných údajov v súvislosti so spracovaním osobných údajov v rámci postupu týkajúceho sa práva na vypočutie (ďalej len „vyhlásenie o ochrane údajov“).
11 SRB na svojej internetovej stránke 16. októbra 2018 oznámila, že od 6. novembra 2018 budú oprávnení akcionári a veritelia vyzvaní, aby počas fázy konzultácie predložili svoje písomné pripomienky k predbežnému rozhodnutiu.
12 Dňa 6. novembra 2018 SRB elektronickou poštou zaslala oprávneným akcionárom a veriteľom jedinečný osobný internetový odkaz, ktorý im na internete umožňoval prístup k formuláru (ďalej len „formulár“). Formulár pozostával zo siedmich otázok s obmedzeným priestorom na odpoveď, ktoré umožnili dotknutým akcionárom a veriteľom predložiť do 26. novembra 2018 pripomienky k predbežnému rozhodnutiu, ako aj k nedôvernej verzii ocenenia 3.
13 SRB preskúmala relevantné pripomienky akcionárov a dotknutých veriteľov týkajúce sa predbežného rozhodnutia. Požiadala Deloitte, aby ako nezávislý posudzovateľ posúdila relevantné pripomienky týkajúce sa ocenenia 3, predložila jej dokument obsahujúci svoje hodnotenie a preskúmala, či ocenenie 3 zostáva vzhľadom na tieto pripomienky v platnosti.
O spracovaní údajov, ktoré zhromaždila SRB v rámci postupu týkajúceho sa práva na vypočutie
14 Údaje zhromaždené počas fázy registrácie, konkrétne doklady totožnosti účastníkov a dôkazy o vlastníctve odpísaných alebo konvertovaných a prevedených kapitálových nástrojov Banco Popular, boli prístupné obmedzenému počtu pracovníkov SRB zodpovedných za spracovanie týchto údajov s cieľom určiť oprávnenosť účastníkov.
15 Tieto údaje neboli viditeľné pracovníkom SRB zodpovedným za spracovanie pripomienok prijatých počas fázy konzultácie, počas ktorej im boli doručené len pripomienky identifikované odkazom na alfanumerický kód priradený ku každej pripomienke predloženej prostredníctvom formulára. Alfanumerický kód pozostával z 33‑miestneho univerzálneho jedinečného identifikátora, ktorý bol náhodne vygenerovaný v čase prijatia odpovedí na formulár.
16 V prvom kroku SRB vykonala automatické filtrovanie 23 822 pripomienok, z ktorých každá mala jedinečný alfanumerický kód a ktoré predložilo 2 855 účastníkov konania. Dva algoritmy identifikovali 20 101 pripomienok ako identických. Pripomienka predložená ako prvá sa považovala za pôvodnú pripomienku, ktorá sa posudzovala počas fázy analýzy, a následne prijaté identické pripomienky boli identifikované ako duplikáty.
17 V druhom kroku, vo fáze analýzy, SRB preskúmala pripomienky s cieľom zabezpečiť konzistentnosť pri posudzovaní ich relevantnosti a kategorizácie alebo ich zoskupenia do vymedzených tém. SRB takto zistila podobné, ale nie identické pripomienky, ktoré vychádzali z rovnakých zdrojov dostupných na internete.
18 Pracovníci SRB zodpovední za analýzu pripomienok nemali prístup k údajom zhromaždeným počas fázy registrácie, keďže tieto pripomienky boli oddelené od osobných informácií týkajúcich sa osôb, ktoré ich predložili, ani ku kľúču k údajom alebo informáciám umožňujúcim opätovne odhaliť totožnosť účastníka odkazom na jedinečný alfanumerický kód priradený ku každej pripomienke.
19 Počas tejto fázy analýzy SRB porovnala všetky predložené pripomienky a zoradila ich podľa otázky vo formulári, na ktorú odpovedali. Pripomienky boli potom posúdené podľa ich relevantnosti a rozdelené na jednej strane na pripomienky, ktoré patria do pôsobnosti postupu týkajúceho sa práva na vypočutie, keďže by mohli mať vplyv na predbežné rozhodnutie alebo ocenenie 3, a na druhej strane na pripomienky, ktoré nepatria do pôsobnosti tohto konania, keďže sa týkajú iných aspektov riešenia krízovej situácie Banco Popular.
20 Pripomienka patriaca do pôsobnosti postupu bola potom priradená k jednej z pätnástich tém, ktoré SRB vopred vymedzila. V závislosti od toho, ku ktorej téme patrili, sa pripomienky rozdelili na pripomienky, ktoré mala preskúmať SRB, keďže sa týkali predbežného rozhodnutia, a tie, ktoré mala preskúmať Deloitte, keďže sa týkali ocenenia 3. SRB medzi pripomienkami, ktoré sa mali preskúmať, nerozlišovala medzi tými, ktoré boli predložené len raz, a tými, ktoré mali duplikáty.
21 Na konci fázy analýzy SRB identifikovala 3 730 pripomienok roztriedených podľa ich relevantnosti a témy.
22 V treťom kroku, vo fáze preskúmania, SRB spracovala pripomienky týkajúce sa predbežného rozhodnutia a pripomienky týkajúce sa ocenenia 3, konkrétne 1 104 pripomienok, boli 17. júna 2019 postúpené spoločnosti Deloitte prostredníctvom zabezpečeného osobitného virtuálneho dátového servera SRB. SRB nahrala súbory, ktoré sa mali oznámiť spoločnosti Deloitte, na virtuálny server a umožnila prístup k týmto súborom obmedzenému a kontrolovanému počtu pracovníkov spoločnosti Deloitte, ktorí sa na tomto projekte priamo podieľali.
23 Pripomienky postúpené spoločnosti Deloitte boli filtrované, kategorizované a agregované. Keď išlo o kópie predchádzajúcich pripomienok, spoločnosti Deloitte bola postúpená iba jedna verzia, a tak jednotlivé pripomienky, ktoré boli duplikované, nebolo možné v rámci tej istej témy rozlíšiť a Deloitte nemala možnosť zistiť, či pripomienku predložil jeden alebo viacerí účastníci konania.
24 Spoločnosti Deloitte boli postúpené len tie pripomienky, ktoré boli doručené počas fázy konzultácie a mali alfanumerický kód. Len SRB mohla prostredníctvom tohto kódu opätovne spojiť pripomienky s údajmi prijatými počas fázy registrácie. Alfanumerický kód bol vyvinutý na účely auditu s cieľom overiť a prípadne následne preukázať, že každá pripomienka bola spracovaná a náležite zohľadnená. Deloitte nemala a stále nemá prístup k databáze zhromaždenej počas fázy registrácie.
O konaní pred EDPS
25 Dotknutí akcionári a veritelia, ktorí odpovedali na formulár, predložili 19., 26. a 28. októbra a 5. decembra 2019 EDPS päť sťažností (veci 2019‑947, 2019‑998, 2019‑999, 2019‑1000 a 2019‑1122) (ďalej len „päť sťažností“) podľa nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES (Ú. v. EÚ L 295, 2018, s. 39).
26 Autori piatich sťažností (ďalej len „sťažovatelia“) sa odvolávali na skutočnosť, že ich SRB neinformovala o tom, že údaje zhromaždené prostredníctvom odpovedí na formulár budú postúpené tretím stranám, konkrétne spoločnosti Deloitte a Banco Santander, v rozpore s podmienkami vyhlásenia o ochrane údajov. Tvrdili preto, že SRB porušila článok 15 ods. 1 písm. d) nariadenia 2018/1725, podľa ktorého „v prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe… informácie [týkajúce sa] [prípadných príjemcov alebo kategórií] príjemcov osobných údajov“.
27 Dňa 12. decembra 2019 EDPS informoval SRB o tom, že dostal päť sťažností, a požiadal ju o predloženie pripomienok.
28 Dňa 24. júna 2020 EDPS prijal na základe konania, v rámci ktorého SRB poskytla na žiadosť EDPS rôzne vysvetlenia a sťažovatelia predložili pripomienky, pôvodné rozhodnutie. EDPS dospel k záveru, že SRB porušila článok 15 nariadenia 2018/1725, pretože sťažovateľov vo vyhlásení o ochrane údajov neinformovala o možnosti, že by ich osobné údaje mohli byť poskytnuté spoločnosti Deloitte. V dôsledku toho SRB napomenul za toto porušenie podľa článku 58 ods. 2 písm. b) nariadenia 2018/1725.
29 Dňa 22. júla 2020 SRB požiadala EDPS o preskúmanie pôvodného rozhodnutia podľa článku 18 ods. 1 rozhodnutia EDPS z 15. mája 2020, ktorým sa prijíma rokovací poriadok EDPS (Ú. v. EÚ L 204, 2020, s. 49). SRB poskytla najmä podrobný opis postupu týkajúceho sa práva na vypočutie a analýzy pripomienok predložených počas fázy konzultácie štyrmi identifikovanými sťažovateľmi. Uviedla, že informácie poskytnuté spoločnosti Deloitte nepredstavujú osobné údaje v zmysle článku 3 bodu 1 nariadenia 2018/1725.
30 Dňa 5. augusta 2020 EDPS informoval SRB, že vzhľadom na nové poskytnuté dôkazy sa rozhodol opätovne preskúmať pôvodné rozhodnutie a že prijme rozhodnutie, ktorým ho nahradí.
31 Dňa 24. novembra 2020, na základe postupu preskúmania, počas ktorého sťažovatelia predložili pripomienky a SRB poskytla na žiadosť EDPS dodatočné informácie, prijal EDPS revidované rozhodnutie.
32 EDPS rozhodol o takejto revízii pôvodného rozhodnutia:
„1. EDPS sa domnieva, že údaje, ktoré si SRB vymieňala so spoločnosťou Deloitte, boli pseudonymizované údaje, pretože pripomienky vo fáze [konzultácie] boli osobné údaje, ako aj preto, lebo SRB používala spoločný alfanumerický kód umožňujúci spojenie odpovedí prijatých počas fázy [registrácie] s odpoveďami z fázy [konzultácie], hoci údaje poskytnuté účastníkmi na identifikáciu počas fázy [registrácie] neboli spoločnosti Deloitte oznámené.
2. EDPS sa domnieva, že Deloitte bola príjemcom osobných údajov sťažovateľov v zmysle článku 3 bodu 13 nariadenia 2018/1725. Skutočnosť, že Deloitte nebola uvedená vo vyhlásení SRB o ochrane osobných údajov ako možný príjemca osobných údajov zhromaždených a spracovaných SRB ako prevádzkovateľom v rámci postupu týkajúceho sa práva na vypočutie, predstavuje porušenie informačnej povinnosti stanovenej v článku 15 ods. 1 písm. d) [nariadenia 2018/1725].
3. Vzhľadom na všetky technické a organizačné opatrenia, ktoré SRB prijala na zmiernenie rizík pre právo jednotlivcov na ochranu údajov v rámci postupu týkajúceho sa práva na vypočutie, EDPS sa rozhodol neuplatniť svoju právomoc prijímať nápravné opatrenia stanovenú v článku 58 ods. 2 [nariadenia 2018/1725].
4. EDPS však odporúča, aby SRB zabezpečila, aby jej vyhlásenia o ochrane osobných údajov v budúcich postupoch týkajúcich sa práva na vypočutie zahŕňali spracúvanie osobných údajov počas fázy registrácie aj počas fázy konzultácie a aby zahŕňali všetkých možných príjemcov zhromaždených informácií, a to s cieľom v plnej miere plniť povinnosť informovať dotknuté osoby v súlade s článkom 15 [nariadenia 2018/1725].“
Návrhy účastníkov konania
33 SRB po úprave svojich návrhov navrhuje, aby Všeobecný súd:
– zrušil revidované rozhodnutie,
– vyhlásil pôvodné rozhodnutie za nezákonné,
– uložil EDPS povinnosť nahradiť trovy konania.
34 EDPS navrhuje, aby Všeobecný súd:
– zamietol žalobu,
– uložil SRB povinnosť nahradiť trovy konania.
Právny stav
O druhom žalobnom návrhu, aby Všeobecný súd „vyhlásil pôvodné rozhodnutie za nezákonné“
35 V prejednávanej veci je medzi účastníkmi konania nesporné, že revidovaným rozhodnutím sa zrušilo a nahradilo pôvodné rozhodnutie.
36 EDPS tvrdí, že v dôsledku toho je hlavný návrh týkajúci sa pôvodného rozhodnutia neprípustný.
37 SRB tvrdí, že pretrváva záujem na konštatovaní procesných nezrovnalostí vedúcich k prijatiu pôvodného rozhodnutia, konkrétne porušenia jej práva na obhajobu a práva na prístup k spisu, aby sa tieto neopakovali v budúcich konaniach. Vo svojej odpovedi na opatrenie na zabezpečenie priebehu konania uviedla, že svojím druhým žalobným návrhom sa neusiluje o zrušenie pôvodného rozhodnutia, ktoré už bolo zrušené a nahradené revidovaným rozhodnutím s účinkom ex tunc, ale o jeho vyhlásenie za nezákonné.
38 Treba teda konštatovať, že SRB sa svojím druhým žalobným návrhom snaží o získanie deklaratórneho rozsudku, a nie zrušenie aktu.
39 Treba však pripomenúť, že z ustálenej judikatúry vyplýva, že Všeobecný súd nemá v rámci preskúmania zákonnosti na základe článku 263 ZFEÚ právomoc vyhlasovať deklaratórne rozsudky (pozri rozsudky zo 4. februára 2009, Omya/Komisia, T‑145/06, EU:T:2009:27, bod 23 a citovanú judikatúru, a z 13. septembra 2018, DenizBank/Rada, T‑798/14, EU:T:2018:546, bod 135 a citovanú judikatúru).
40 Z toho vyplýva, že druhý žalobný návrh SRB, podľa ktorého má Všeobecný súd „vyhlásiť pôvodné rozhodnutie za nezákonné“, musí byť zamietnutý z toho dôvodu, že Všeobecný súd nemá právomoc na jeho prejednanie.
O prípustnosti prvého žalobného návrhu smerujúceho k zrušeniu revidovaného rozhodnutia
41 Otázka prípustnosti žaloby zahŕňa dôvody neprípustnosti v oblasti verejného poriadku, ktoré môže súd Únie uplatniť z moci úradnej kedykoľvek (pozri rozsudok zo 16. marca 2022, MEKH a FGSZ/ACER, T‑684/19 a T‑704/19, EU:T:2022:138, bod 29 a citovanú judikatúru; pozri v tomto zmysle tiež rozsudok z 24. marca 1993, CIRFS a i./Komisia, C‑313/90, EU:C:1993:111, bod 23). V rámci opatrenia na zabezpečenie priebehu konania sa Všeobecný súd účastníkov konania najmä pýtal, či revidované rozhodnutie predstavuje akt, ktorý možno napadnúť na základe článku 263 ZFEÚ.
42 V odpovedi na túto otázku EDPS poukázal na to, že skutočnosť, že revidované rozhodnutie obsahuje jeho konečný postoj a konštatovanie porušenia, nepostačuje na to, aby predstavovalo napadnuteľný akt. Bolo by potrebné, aby tento postoj viedol k zmene právnej situácie SRB. Keďže EDPS v revidovanom rozhodnutí nevyužil svoje nápravné právomoci stanovené v článku 58 nariadenia 2018/1725, možno toto rozhodnutie považovať za rozhodnutie, ktoré na účely súdneho preskúmania podľa článku 263 ZFEÚ nemá právne účinky.
43 SRB vo svojej odpovedi na tú istú otázku tvrdí, že revidované rozhodnutie má právne účinky, ktoré môžu mať vplyv na jej záujmy.
44 Z judikatúry vyplýva, že podľa článku 263 štvrtého odseku ZFEÚ môže fyzická alebo právnická osoba napadnúť iba akty, ktoré vyvolávajú záväzné právne účinky takej povahy, že ovplyvňujú jej záujmy tým, že podstatným spôsobom menia jej právne postavenie. Napadnuteľnými aktmi sú teda v zásade opatrenia, ktoré konečným spôsobom určujú postoj inštitúcie, orgánu, alebo agentúry Únie na záver určitého správneho konania a majú vyvolávať záväzné právne účinky spôsobilé ovplyvniť záujmy žalobcu, s výnimkou dočasných opatrení, ktorých účelom je pripraviť konečné rozhodnutie a ktoré takéto účinky nemajú (pozri rozsudky z 25. júna 2020, SATCEN/KF, C‑14/19 P, EU:C:2020:492, body 69 a 70 a citovanú judikatúru, a zo 6. mája 2021, ABLV Bank a i./BCE, C‑551/19 P a C‑552/19 P, EU:C:2021:369, bod 39 a citovanú judikatúru).
45 Na účely určenia, či napadnutý akt vyvoláva takéto účinky, treba vychádzať z vecnej podstaty tohto aktu a posúdiť tieto účinky z hľadiska objektívnych kritérií, ako je obsah uvedeného aktu, a prípadne zohľadniť kontext jeho prijatia, ako aj právomoci inštitúcie, orgánu alebo agentúry Únie, ktorá je jeho autorom (pozri rozsudky z 22. apríla 2021, thyssenkrupp Electrical Steel a thyssenkrupp Electrical Steel Ugo/Komisia, C‑572/18 P, EU:C:2021:317, bod 48 a citovanú judikatúru; zo 6. mája 2021, ABLV Bank a i./BCE, C‑551/19 P a C‑552/19 P, EU:C:2021:369, bod 41 a citovanú judikatúru, a zo 6. októbra 2021, Tognoli a i./Parlament, C‑431/20 P, EU:C:2021:807, bod 34 a citovanú judikatúru).
46 Po prvé treba pripomenúť, že revidované rozhodnutie prijal EDPS na základe žiadosti SRB o preskúmanie pôvodného rozhodnutia. Revidované rozhodnutie prijaté na základe kontradiktórneho správneho konania zrušuje a nahrádza pôvodné rozhodnutie a predstavuje rozhodnutie, ktorým sa s konečnou platnosťou stanovuje postoj EDPS k piatim sťažnostiam.
47 V článku 64 ods. 2 nariadenia 2018/1725, ktorý sa týka práva na účinný súdny prostriedok nápravy, sa však stanovuje, že proti rozhodnutiam EDPS možno podať žalobu na Súdnom dvore Európskej únie.
48 Konkrétne v článku 18 Rokovacieho poriadku EDPS, na základe ktorého bolo prijaté revidované rozhodnutie, sa stanovuje v odseku 3 najmä toto:
„Ak EDPS v nadväznosti na žiadosť o preskúmanie svojho rozhodnutia o sťažnosti vydá nové, revidované rozhodnutie, EDPS informuje sťažovateľa a dotknutú inštitúciu o tom, že môžu spochybniť toto nové rozhodnutie na Súdnom dvore Európskej únie v súlade s článkom 263 [ZFEÚ].“
49 V tejto súvislosti sa v sprievodnom liste k revidovanému rozhodnutiu zaslanému SRB uvádza:
„Upozorňujeme, že týmto rozhodnutím sa ruší a nahrádza rozhodnutie prijaté 24. júna 2020. Žalobu o neplatnosť tohto rozhodnutia môžete podať na Súdny dvor Európskej únie do dvoch mesiacov od prijatia tohto rozhodnutia a za podmienok stanovených v článku 263 [ZFEÚ].“
50 Po druhé, pokiaľ ide o vecnú podstatu revidovaného rozhodnutia, treba pripomenúť, že EDPS na jednej strane dospel k záveru, že SRB sa dopustila porušenia informačnej povinnosti stanovenej v článku 15 ods. 1 písm. d) nariadenia 2018/1725, a na druhej strane jej v podstate odporučil, aby zabezpečila, aby sa v jej budúcich vyhláseniach o ochrane údajov takéto porušenie neopakovalo.
51 Na jednej strane treba konštatovať, že podľa článku 65 nariadenia 2018/1725 takéto porušenie pravdepodobne povedie k zodpovednosti SRB ako prevádzkovateľa dotknutých údajov, a to ak budú dodržané ostatné podmienky stanovené v zmluvách.
52 Na druhej strane podľa článku 66 ods. 1 nariadenia 2018/1725 EDPS pri rozhodovaní o uložení správnej pokuty inštitúcii alebo orgánu Únie a pri rozhodovaní o výške tejto pokuty okrem iného zohľadňuje všetky podobné predchádzajúce porušenia tejto inštitúcie alebo tohto orgánu. Ak by sa teda SRB neriadila odporúčaním EDPS zmeniť svoje vyhlásenia o ochrane osobných údajov v budúcich postupoch týkajúcich sa práva na vypočutie, mohlo by sa konštatovať podobné porušenie článku 15 ods. 1 písm. d) nariadenia 2018/1725 zo strany SRB, ktoré by viedlo k uloženiu pokuty.
53 Z toho vyplýva, že konštatovanie v revidovanom rozhodnutí, že SRB porušila článok 15 ods. 1 písm. d) nariadenia 2018/1725, má záväzné právne účinky, aj keď EDPS uviedol, že neuplatňuje svoju právomoc prijímať nápravné opatrenia stanovenú v článku 58 ods. 2 nariadenia 2018/1725.
54 Vzhľadom na už vyššie uvedené je revidované rozhodnutie aktom Európskej únie, ktorý má takú povahu, že ovplyvňuje záujmy svojho adresáta tým, že podstatným spôsobom mení jeho právne postavenie. Ide teda o napadnuteľný akt v zmysle článku 263 ZFEÚ.
55 Treba preto konštatovať, že prvý žalobný návrh smerujúci k zrušeniu revidovaného rozhodnutia je prípustný.
O veci samej
56 Na podporu svojej žaloby SRB uvádza dva žalobné dôvody. Prvý žalobný dôvod je založený na porušení článku 3 bodu 1 nariadenia 2018/1725, keďže informácie postúpené spoločnosti Deloitte nepredstavujú osobné údaje. Druhý žalobný dôvod je založený na porušení práva na dobrú správu vecí verejných podľa článku 41 Charty základných práv.
57 V rámci prvého žalobného dôvodu SRB tvrdí, že EDPS porušil článok 3 bod 1 nariadenia 2018/1725 tým, že v revidovanom rozhodnutí dospel k záveru, že informácie postúpené spoločnosti Deloitte predstavujú osobné údaje sťažovateľov.
58 V článku 3 bode 1 nariadenia 2018/1725 sa vymedzuje pojem osobné údaje tak, že sú to „akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby…; [pričom] identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby“.
59 Z tohto vymedzenia vyplýva, že informácia predstavuje osobný údaj, najmä ak sú splnené dve kumulatívne podmienky, a to na jednej strane, že sa táto informácia „týka“ fyzickej osoby, a na druhej strane, že táto osoba je „identifikovaná alebo identifikovateľná“.
O podmienke stanovenej v článku 3 bode 1 nariadenia 2018/1725, že sa informácie „týkajú“ fyzickej osoby
60 SRB tvrdí, že pripomienky doručené počas fázy konzultácie a oznámené spoločnosti Deloitte sa netýkali konkrétnych osôb v zmysle článku 3 bodu 1 nariadenia 2018/1725. Domnieva sa, že argumentácia uvedená v rozsudku z 20. decembra 2017, Nowak (C‑434/16, EU:C:2017:994), sa na pripomienky sťažovateľov nevzťahuje. Tvrdí, že informácie obsiahnuté v pripomienkach sťažovateľov boli faktické a právne informácie nezávislé od osôb alebo osobných vlastností sťažovateľov a netýkali sa ich súkromného života. Domnieva sa, že účelom postupu týkajúceho sa práva na vypočutie bolo posúdiť skutkové a právne tvrdenia týkajúce sa predbežného rozhodnutia a ocenenia 3 od veľkého počtu zainteresovaných strán, ktorých osobnosť a totožnosť neboli na účely posúdenia ich pripomienok relevantné.
61 EDPS tvrdí, že obsah pripomienok dotknutých akcionárov a veriteľov sú informácie, ktoré sa ich „týkajú“, pretože ich odpovede obsahovali a odrážali ich osobné názory, aj keď boli založené na verejne dostupných informáciách. Odpovede sťažovateľov a iných účastníkov na formulár by predstavovali osobné údaje bez ohľadu na to, či sú vyjadrením pôvodného stanoviska alebo stanoviska spoločného s inými, a bez ohľadu na to, či ich SRB považuje za informácie nezávislé od konkrétnych práv dotknutých akcionárov a veriteľov v oblasti rešpektovania súkromného života.
62 EDPS sa tiež domnieva, že pripomienky predstavujú osobné údaje vzhľadom na ich účinok. Posúdenie týchto pripomienok zamerané na overenie platnosti ocenenia 3 a zákonnosti predbežného rozhodnutia mohlo mať vplyv na záujmy a práva účastníkov na finančnú kompenzáciu. Napokon tvrdí, že cieľom zhromažďovania pripomienok bolo priznať procesné práva každému účastníkovi konania, aby sa zhromaždili individuálne stanoviská.
63 V revidovanom rozhodnutí EDPS uviedol, že odpovede doručené počas fázy konzultácie predstavovali osobné údaje sťažovateľov, keďže obsahovali ich osobné stanoviská, a preto predstavovali informácie, ktoré sa ich týkajú, aj keď pri vyjadrovaní svojich stanovísk vychádzali z verejne dostupných informácií. Usúdil, že skutočnosť, že sťažovatelia vyjadrili stanoviská podobné, ale nie totožné so stanoviskami iných účastníkov, neznamená, že ich odpovede neodrážali ich vlastné názory. EDPS preto dospel k záveru, že všetky odpovede, ktoré sťažovatelia a ostatní účastníci poskytli vo voľných textových poliach, by sa mali považovať za osobné údaje, či už ide o vyjadrenie pôvodného a jedinečného stanoviska, alebo stanoviska spoločného s inými, alebo inšpirovaného či získaného z verejne dostupných informácií. Dodal, že tento záver nebol v rozpore s rozsudkom z 20. decembra 2017, Nowak (C‑434/16, EU:C:2017:994), v ktorom Súdny dvor nerozlišoval medzi odpoveďami úplne vypracovanými respondentmi a odpoveďami získanými z iných zdrojov poznatkov.
64 Malo by sa preskúmať, či sa EDPS mohol oprávnene domnievať, že informácie postúpené spoločnosti Deloitte sa „týkajú“ fyzickej osoby v zmysle článku 3 bodu 1 nariadenia 2018/1725.
65 Na úvod treba poznamenať, že v revidovanom rozhodnutí EDPS označil za osobné údaje všetky pripomienky dotknutých akcionárov a veriteľov vyjadrené počas fázy konzultácie, a neobmedzil svoje posúdenie len na informácie postúpené spoločnosti Deloitte.
66 Keďže sa však porušenie článku 15 ods. 1 písm. d) nariadenia 2018/1725 konštatované v revidovanom rozhodnutí týkalo len toho, že SRB vo vyhlásení o ochrane údajov neuviedla, že Deloitte bola potenciálnym príjemcom určitých údajov, stačí sa obmedziť na preskúmanie toho, či informácie postúpené spoločnosti Deloitte boli osobnými údajmi v zmysle článku 3 bodu 1 nariadenia 2018/1725.
67 V tomto smere sa v článku 3 bode 13 nariadenia 2018/1725 vymedzuje pojem „príjemca“ tak, že to je „fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorému sa osobné údaje poskytujú bez ohľadu na to, či je treťou stranou“.
68 Podľa judikatúry použitie výrazu „akékoľvek informácie“ v rámci vymedzenia pojmu „osobný údaj“ v článku 3 bode 1 nariadenia 2018/1725 odzrkadľuje cieľ normotvorcu Únie priznať tomuto pojmu široký význam, pričom tento pojem sa neobmedzuje na informácie, ktoré sú citlivé alebo patria do súkromnej sféry, ale potenciálne zahŕňa všetky druhy informácií, a to tak objektívne, ako aj subjektívne vo forme názoru alebo hodnotení pod podmienkou, že sa „týkajú“ dotknutej osoby (pozri analogicky rozsudok z 20. decembra 2017, Nowak, C‑434/16, EU:C:2017:994, bod 34).
69 Pokiaľ ide o túto poslednú podmienku, Súdny dvor už rozhodol, že je splnená v prípade, že táto informácia z dôvodu svojho obsahu, účelu alebo účinku súvisí s určitou osobou (rozsudok z 20. decembra 2017, Nowak, C‑434/16, EU:C:2017:994, bod 35).
70 V revidovanom rozhodnutí však EDPS neskúmal obsah, účel ani účinok informácií postúpených spoločnosti Deloitte.
71 Obmedzil sa na konštatovanie, že pripomienky predložené sťažovateľmi počas konzultačnej fázy odzrkadľovali ich názory alebo stanoviská, a na tomto jedinom základe dospel k záveru, že predstavujú informácie, ktoré sa ich týkajú, a že to stačí na to, aby ich bolo možné považovať za osobné údaje.
72 EDPS na pojednávaní potvrdil, že podľa neho predstavuje akýkoľvek osobný názor osobné údaje. Takisto pripustil, že neskúmal obsah pripomienok predložených sťažovateľmi počas fázy konzultácie.
73 Rozhodne nemožno vylúčiť, že osobné stanoviská alebo názory predstavujú osobné údaje. Z bodov 34 a 35 rozsudku z 20. decembra 2017, Nowak (C‑434/16, EU:C:2017:994), už citovaných v bodoch 68 a 69 vyššie, však vyplýva, že takýto záver sa nemôže zakladať na domnienke, ako je domnienka opísaná v bodoch 71 a 72 vyššie, ale musí sa zakladať na preskúmaní s cieľom určiť, či je stanovisko svojím obsahom, účelom alebo účinkom spojené s konkrétnou osobou.
74 Z toho vyplýva, že bez takéhoto preskúmania EDPS nemohol dospieť k záveru, že informácie postúpené spoločnosti Deloitte predstavujú informácie, ktoré sa „týkajú“ fyzickej osoby v zmysle článku 3 bodu 1 nariadenia 2018/1725.
75 Všeobecný súd následne preskúma posúdenie EDPS, či sa informácie postúpené spoločnosti Deloitte týkajú „identifikovanej alebo identifikovateľnej“ fyzickej osoby.
O podmienke stanovenej v článku 3 bode 1 nariadenia 2018/1725, že sa informácie týkajú „identifikovanej alebo identifikovateľnej“ fyzickej osoby
76 SRB tvrdí, že v rozpore s tým, k akému záveru dospel EDPS, oznámenie alfanumerického kódu spoločnosti Deloitte neviedlo k „pseudonymizácii“ týchto údajov. Tieto informácie by zostali anonymné, ak by SRB spoločnosti Deloitte neposkytla informácie umožňujúce opätovnú identifikáciu autorov pripomienok.
77 SRB tvrdí, že údaje sú pre tretiu stranu anonymizované, aj keď informácie umožňujúce opätovnú identifikáciu nie sú nezvratne zničené a uchováva ich pôvodný sprostredkovateľ, keďže formát, v ktorom sa údaje oznamujú tejto tretej strane, už neumožňuje identifikáciu autora pripomienok alebo to nie je primerane pravdepodobné. SRB tvrdí, že v rozpore s tým, k akému záveru dospel EDPS v revidovanom rozhodnutí, v nariadení 2018/1725 a judikatúre Súdneho dvora sa vyžaduje posúdenie rizika opätovnej identifikácie.
78 SRB najmä tvrdí, že v prejednávanej veci nie sú splnené podmienky stanovené judikatúrou Súdneho dvora, ktoré sa týkajú existencie rizika opätovnej identifikácie, ak všetky informácie umožňujúce identifikáciu nie sú v držbe jedinej osoby, ale viacerých strán. Na jednej strane alfanumerický kód priradený jednotlivým pripomienkam neumožňoval spoločnosti Deloitte opätovne identifikovať osoby, ktoré pripomienky predložili. Dodatočné informácie uvedené v článku 3 bode 6 nariadenia 2018/1725 by pozostávali z databázy umožňujúcej dekódovanie, ku ktorej mala prístup len SRB. Na druhej strane, pokiaľ ide o kritérium primeranej pravdepodobnosti skombinovania informácií, Deloitte nemala a stále nemá zákonné prostriedky na prístup k dodatočným informáciám a identifikácii.
79 EDPS tvrdí, že skutočnosť, že Deloitte nemala prístup k informáciám, ktoré mala SRB a ktoré umožňovali opätovnú identifikáciu, neznamená, že „pseudonymizované“ údaje postúpené spoločnosti Deloitte sa stali anonymnými údajmi. Nebolo potrebné určiť, či autori informácií postúpených spoločnosti Deloitte boli touto spoločnosťou opätovne identifikovateľní alebo či bola takáto opätovná identifikácia primerane pravdepodobná. „Pseudonymizované“ údaje zostávajú pseudonymizované, aj keď sa postúpia tretej strane, ktorá nemá k dispozícii dodatočné informácie.
80 EDPS tvrdí, že použitie pojmu „nepriamo“ v článku 3 bode 1 nariadenia 2018/1725 znamená, že na to, aby sa informácia mohla považovať za osobný údaj, nie je potrebné, aby bolo možné dotknutú osobu identifikovať len na základe nej. Okrem toho, pokiaľ ide o prostriedky, pri ktorých je primeraná pravdepodobnosť, že ich použije prevádzkovateľ alebo akákoľvek iná osoba, nebolo by nutné, aby všetky informácie umožňujúce identifikovať dotknutú osobu museli byť v rukách jedinej osoby.
81 V revidovanom rozhodnutí EDPS dospel k záveru, že informácie postúpené spoločnosti Deloitte boli „pseudonymizované“. V tejto súvislosti uviedol, že rozdiel medzi „pseudonymizovanými“ údajmi a anonymnými údajmi spočíva v tom, že v prípade anonymných údajov neexistujú „dodatočné informácie“, ktoré by mohli byť použité na priradenie údajov konkrétnej dotknutej osobe, zatiaľ čo v prípade „pseudonymizovaných“ údajov takéto dodatočné informácie existujú. S cieľom posúdiť, či sú údaje anonymné alebo „pseudonymizované“, bolo preto treba preskúmať, či existujú „dodatočné informácie“, ktoré by sa mohli použiť na priradenie údajov ku konkrétnym dotknutým osobám.
82 EDPS uviedol, že SRB postúpila spoločnosti Deloitte nielen určité pripomienky akcionárov a dotknutých veriteľov, ale aj zodpovedajúci alfanumerický kód a že Deloitte nemala prístup k odpovediam poskytnutým počas fázy registrácie. Uviedol, že (ako to vysvetlila SRB) „nebolo možné, aby Deloitte vysledovala totožnosť ktorejkoľvek strany s použitím tohto kódu s odkazom na konkrétne údaje poskytnuté oprávnenými stranami v rámci fázy registrácie (ktoré SRB stále uchovávala)“. EDPS však dospel k záveru, že údaje poskytnuté počas fázy registrácie s jedinečným identifikátorom, t. j. alfanumerickým kódom prideleným každému oprávnenému účastníkovi, sú dokonalým príkladom „dodatočných informácií“ v zmysle článku 3 bodu 6 nariadenia 2018/1725, keďže by ich SRB mohla použiť na priradenie údajov ku konkrétnej dotknutej osobe.
83 EDPS vysvetlil, že v nariadení 2018/1725 sa nerozlišuje medzi tými, ktorí uchovávajú „pseudonymizované“ údaje, a tými, ktorí majú k dispozícii dodatočné informácie, a že skutočnosť, že ide o rôzne subjekty, nemení „pseudonymizované“ údaje na anonymné. Dodal, že skutočnosť, že Deloitte nebola sama schopná priradiť pripomienky k údajom získaným počas fázy registrácie, nevylučuje, že údaje, ktoré dostala, boli „pseudonymizované“. Podľa stanoviska EDPS údaje, ktoré si SRB vymieňala so spoločnosťou Deloitte, boli „pseudonymizované“ údaje, pretože pripomienky získané vo fáze konzultácie boli osobné údaje, ako aj preto, lebo SRB zdieľala alfanumerický kód umožňujúci spojenie odpovedí z fázy registrácie s odpoveďami z fázy konzultácie, hoci údaje poskytnuté účastníkmi na identifikáciu počas fázy registrácie neboli spoločnosti Deloitte poskytnuté. Na základe toho dospel k záveru, že informácie postúpené spoločnosti Deloitte sú „pseudonymizované“ údaje, a teda osobné údaje v zmysle článku 3 bodu 1 nariadenia 2018/1725.
84 Na úvod treba konštatovať, že vzhľadom na mechanizmy, ktoré SRB zaviedla v oblasti spracúvania údajov zhromaždených v rámci postupu týkajúceho sa p ráva na vypočutie, ktoré sú opísané v bodoch 14 až 24 vyššie, sa informácie postúpené spoločnosti Deloitte netýkali „identifikovaných“ osôb.
85 Preto by sa malo preskúmať, či sa EDPS mohol oprávnene domnievať, že informácie postúpené spoločnosti Deloitte sa týkajú „identifikovateľnej“ fyzickej osoby v zmysle článku 3 bodu 1 nariadenia 2018/1725.
86 Podľa tohto ustanovenia je „identifikovateľná fyzická osoba“ osoba, ktorú možno priamo alebo nepriamo identifikovať.
87 V odôvodnení 16 nariadenia 2018/1725 sa stanovuje:
„Osobné údaje, ktoré boli pseudonymizované a ktoré by sa mohli použitím dodatočných informácií priradiť fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe. Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali vziať do úvahy všetky prostriedky, napríklad osobitný výber, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo iná osoba využije na priamu alebo nepriamu identifikáciu fyzickej osoby. Na zistenie toho, či je primerane pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej osoby, by sa mali zohľadniť všetky objektívne faktory, ako sú náklady a čas potrebný na identifikáciu so zreteľom na technológiu dostupnú v čase spracúvania, ako aj na technologický vývoj…“
88 Treba konštatovať, že v rozsudku z 19. októbra 2016, Breyer (C‑582/14, EU:C:2016:779), Súdny dvor vyložil pojem „osobné údaje“ v zmysle článku 2 písm. a) smernice Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355), ktorý obsahuje ustanovenie rovnocenné s článkom 3 bodom 1 nariadenia 2018/1725.
89 V tejto veci sa riešila otázka, či dynamická adresa internetového protokolu (ďalej len „IP adresa“) predstavuje osobný údaj vo vzťahu k poskytovateľovi online mediálnych služieb, ktorý ju zaregistroval. Súdny dvor rozhodol, že treba overiť, či túto IP adresu možno považovať za informáciu, ktorá sa týka „identifikovateľnej fyzickej osoby“, a to jednak vzhľadom na to, že sama osebe nedáva tomuto poskytovateľovi možnosť identifikovať používateľa, ktorý navštívil internetovú stránku, a jednak vzhľadom na to, že potrebné dodatočné informácie, ktoré by v spojení s touto IP adresou umožnili identifikovať tohto používateľa, má k dispozícii poskytovateľ internetového pripojenia.
90 Keďže v odôvodnení 16 nariadenia 2018/1725 sa odkazuje na prostriedky, pri ktorých je primeraná pravdepodobnosť, že ich využije prevádzkovateľ alebo „iná osoba“, znenie tohto odôvodnenia nasvedčuje tomu, že aby sa určitý údaj mohol kvalifikovať ako „osobný údaj“ v zmysle článku 3 bodu 1 nariadenia 2018/1725, nie je nevyhnutné, aby sa všetky informácie umožňujúce identifikovať dotknutú osobu museli nachádzať v rukách jedinej osoby (pozri analogicky rozsudok z 19. októbra 2016, Breyer, C‑582/14, EU:C:2016:779, bod 43).
91 Súdny dvor však dodal, že skutočnosť, že dodatočné informácie potrebné na identifikáciu používateľa webového sídla nemá k dispozícii poskytovateľ online mediálnych služieb, ale poskytovateľ internetového pripojenia tohto používateľa, teda nemôže vylúčiť, že dynamické IP adresy uchovávané poskytovateľom online mediálnych služieb predstavujú pre tohto poskytovateľa osobné údaje (rozsudok z 19. októbra 2016, Breyer, C‑582/14, EU:C:2016:779, bod 44).
92 Súdny dvor usúdil, že však treba určiť, či možnosť spojenia dynamickej IP adresy s uvedenými dodatočnými informáciami, ktoré má k dispozícii tento poskytovateľ internetového pripojenia, predstavuje prostriedok, ktorý môže byť rozumne použitý na identifikáciu dotknutej osoby (rozsudok z 19. októbra 2016, Breyer, C‑582/14, EU:C:2016:779, bod 45).
93 Súdny dvor uviedol, že tak by to nebolo v prípade, ak by identifikácia dotknutej osoby bola zakázaná právnymi predpismi alebo prakticky neuskutočniteľná, napríklad preto, lebo by si vyžadovala neprimerane veľa času, financií alebo ľudských zdrojov, takže pravdepodobnosť identifikácie by sa v skutočnosti javila ako zanedbateľná (rozsudok z 19. októbra 2016, Breyer, C‑582/14, EU:C:2016:779, bod 46).
94 V prejednávanej veci je nesporné na jednej strane to, že alfanumerický kód uvedený v informáciách poskytnutých spoločnosti Deloitte sám osebe neumožňoval identifikovať autorov pripomienok, a na druhej strane to, že spoločnosť Deloitte nemala prístup k identifikačným údajom získaným počas fázy registrácie a umožňujúcim spojiť účastníkov s ich pripomienkami prostredníctvom alfanumerického kódu.
95 EDPS v revidovanom rozhodnutí uviedol a na pojednávaní potvrdil, že dodatočné informácie potrebné na identifikáciu autorov pripomienok pozostávajú z alfanumerického kódu a identifikačnej databázy.
96 Je pravda, ako tvrdí EDPS so zreteľom na bod 43 rozsudku z 19. októbra 2016, Breyer (C‑582/14, EU:C:2016:779), už citovaný v bode 90 vyššie, že skutočnosť, že dodatočné informácie potrebné na identifikáciu autorov pripomienok doručených počas fázy konzultácie nemala k dispozícii Deloitte, ale SRB, zrejme a priori nevylučuje, že informácie postúpené spoločnosti Deloitte predstavovali pre ňu osobné údaje.
97 Z rozsudku z 19. októbra 2016, Breyer (C‑582/14, EU:C:2016:779), však takisto vyplýva, že na účely určenia, či informácie postúpené spoločnosti Deloitte predstavovali osobné údaje, je vhodné sa na určenie toho, či sa informácie, ktoré jej boli poskytnuté, týkajú „identifikovateľných osôb“, postaviť do pozície tejto spoločnosti.
98 Po prvé teda treba pripomenúť, že porušenie článku 15 ods. 1 písm. d) nariadenia 2018/1725, ktoré EDPS konštatoval v revidovanom rozhodnutí, sa týkalo toho, že SRB postúpila určité pripomienky spoločnosti Deloitte, a nielen toho, že SRB tieto pripomienky mala k dispozícii.
99 Po druhé situáciu spoločnosti Deloitte možno na jednej strane porovnať so situáciou poskytovateľa online mediálnych služieb uvedenou v rozsudku z 19. októbra 2016, Breyer (C‑582/14, EU:C:2016:779), keďže mala k dispozícii informácie, konkrétne pripomienky k oceneniu 3, ktoré nepredstavovali informácie týkajúce sa „identifikovanej fyzickej osoby“, pretože alfanumerický kód uvedený v každej odpovedi neumožňoval priame odhalenie totožnosti fyzickej osoby, ktorá formulár vyplnila. Na druhej strane možno situáciu SRB porovnať so situáciou poskytovateľa internetového pripojenia v tejto veci, keďže je nesporné, že len ona mala k dispozícii dodatočné informácie umožňujúce identifikáciu dotknutých akcionárov a veriteľov, ktorí odpovedali na formulár, a to alfanumerický kód a identifikačnú databázu.
100 Podľa bodu 44 rozsudku z 19. októbra 2016, Breyer (C‑582/14, EU:C:2016:779), citovaného v bode 91 vyššie, tak má EDPS preskúmať, či pripomienky postúpené spoločnosti Deloitte predstavujú, so zreteľom na Deloitte, osobné údaje.
101 EDPS teda nesprávne tvrdí, že nebolo potrebné skúmať, či autori informácií postúpených spoločnosti Deloitte boli touto spoločnosťou opätovne identifikovateľní alebo či takéto opätovné identifikovanie bolo primerane možné.
102 Je zrejmé, že v revidovanom rozhodnutí EDPS usúdil, že skutočnosť, že SRB mala k dispozícii dodatočné informácie umožňujúce opätovnú identifikáciu autorov pripomienok, stačila na to, aby sa dospelo k záveru, že informácie postúpené spoločnosti Deloitte sú osobnými údajmi, pričom uznal, že identifikačné údaje získané počas fázy registrácie neboli spoločnosti Deloitte poskytnuté.
103 Z revidovaného rozhodnutia teda vyplýva, že EDPS preskúmal možnosť opätovnej identifikácie autorov pripomienok iba z pohľadu SRB, a nie z pohľadu spoločnosti Deloitte.
104 Z bodu 45 rozsudku z 19. októbra 2016, Breyer (C‑582/14, EU:C:2016:779), citovaného v bode 92 vyššie, však vyplýva, že EDPS má určiť, či možnosť skombinovať informácie, ktoré boli postúpené spoločnosti Deloitte, s dodatočnými informáciami, ktoré má k dispozícii SRB, predstavuje prostriedok, ktorý môže Deloitte primerane použiť na identifikáciu autorov pripomienok.
105 Keďže však EDPS neprešetril, či Deloitte mala k dispozícii legálne a v praxi použiteľné prostriedky umožňujúce prístup k dodatočným informáciám potrebným na opätovnú identifikáciu autorov pripomienok, EDPS nemohol dospieť k záveru, že informácie postúpené spoločnosti Deloitte predstavovali informácie týkajúce sa „identifikovateľnej fyzickej osoby“ v zmysle článku 3 bodu 1 nariadenia 2018/1725.
106 Zo všetkého, čo už bolo uvedené vyššie, vyplýva, že je potrebné vyhovieť prvému žalobnému dôvodu, a teda zrušiť revidované rozhodnutie bez toho, aby bolo nutné preskúmať druhý žalobný dôvod.
O trovách
107 Podľa článku 134 ods. 1 Rokovacieho poriadku Všeobecného súdu účastník konania, ktorý nemal vo veci úspech, je povinný nahradiť trovy konania, ak to bolo v tomto zmysle navrhnuté.
108 Keďže EDPS nemal úspech v hlavnej časti svojich návrhov, je opodstatnené uložiť mu povinnosť nahradiť trovy konania v súlade s návrhmi SRB.
Z týchto dôvodov
VŠEOBECNÝ SÚD (ôsma rozšírená komora)
rozhodol takto:
1. Revidované rozhodnutie Európskeho dozorného úradníka pre ochranu údajov (EDPS) z 24. novembra 2020 prijaté na základe žiadosti Jednotnej rady pre riešenie krízových situácií (SRB) o preskúmanie rozhodnutia EDPS z 24. júna 2020 týkajúceho sa piatich sťažností podaných viacerými navrhovateľmi (veci 2019‑947, 2019‑998, 2019‑999, 2019‑1000 a 2019‑1122) sa zrušuje.
2. V zostávajúcej časti sa žaloba zamieta.
3. EDPS je povinný nahradiť trovy konania.
Rozsudok bol vyhlásený na verejnom pojednávaní v Luxemburgu 26. apríla 2023.
Podpisy