Věc T‑557/20
Jednotný výbor pro řešení krizí (SRB)
v.
Evropský inspektor ochrany údajů (EIOÚ)
Rozsudek Tribunálu (osmého rozšířeného senátu) ze dne 26. dubna 2023
„Ochrana osobních údajů – Postup odškodnění akcionářům a věřitelům v návaznosti na řešení krize bankovní instituce – Rozhodnutí EIOÚ o tom, že SRB porušil své povinnosti týkající se zpracování osobních údajů – Článek 15 odst. 1 písm. d) nařízení (EU) 2018/1725 – Pojem,osobní údaje‘ – Článek 3 bod 1 nařízení 2018/1725 – Právo na přístup ke spisu“
1. Žaloba na neplatnost – Akty napadnutelné žalobou – Pojem – Akty vyvolávající závazné právní účinky – Akty, kterými se mění právní postavení žalobce – Přepracované rozhodnutí Evropského inspektora ochrany údajů (EIOÚ) konstatující porušení povinností Jednotného výboru pro řešení krizí (SRB) týkající se zpracování osobních údajů – Zahrnutí
[Článek 263 SFEU; nařízení Evropského parlamentu a Rady 2018/1725, čl. 15 odst. 1 písm. d)].
(viz body 44–46, 50–54)
2. Orgány Evropské unie – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2018/1725 – Pojem „osobní údaje“ – Veškeré informace o identifikované nebo identifikovatelné fyzické osobě – Postup týkající se práva být vyslechnut zahájený Jednotným výborem pro řešení krizí (SRB) v návaznosti na přijetí opatření k řešení krize bankovní instituce – Připomínky vyjádřené u SRB ze strany akcionářů a věřitelů dotčených těmito opatřeními – Připomínky předané SRB nezávislé třetí osobě k hodnocení – Rozhodnutí Evropského inspektora ochrany údajů (EIOÚ) o tom, že SRB porušil své povinnosti týkající se zpracování osobních údajů těchto akcionářů a věřitelů – Neprovedení přezkumu, ze strany EIOÚ, obsahu, účelu a účinků připomínek – Neurčení ze strany EIOÚ možnosti pro třetí nezávislou osobu disponovat legálními a proveditelnými prostředky, jež by jí umožňovaly přístup k dalším informacím nezbytným ke zpětné identifikaci autorů předaných připomínek – Zrušení rozhodnutí EIOÚ (Nařízení Evropského parlamentu a Rady č. 806/2014, čl. 20 odst. 16 a nařízení Evropského parlamentu a Rady 2018/1725, čl. 3 bod 1)
(viz body 64–75, 94–98, 100–106)
Shrnutí
V červnu 2017 přijalo výkonné zasedání Jednotného výboru pro řešení krizí (SRB) rozhodnutí o programu řešení krize pro Banco Popular Español, SA, bankovní instituci, na základě nařízení č. 806/2014(1). Za účelem určení, zda by se akcionářům a věřitelům dostalo lepšího zacházení, pokud by tato instituce vstoupila do běžného úpadkového řízení, toto nařízení ukládá zásah nezávislé třetí osoby, k provedení ocenění rozdílného zacházení(2). Tímto oceněním byla CRU pověřena společnost Deloitte.
Po provedení tohoto ocenění přijal SRB předběžné rozhodnutí o tom, zda je třeba poskytnout odškodnění dotčeným akcionářům a věřitelům, a zahájil proces zajištění práva být vyslechnut, proto, aby mohl přijmout konečné rozhodnutí(3). Během tohoto procesu, rozděleného do dvou fází, byli dotčení akcionáři a věřitelé nejprve vyzváni, aby vyjádřili svůj zájem na uplatnění svého práva být vyslechnut prostřednictvím on-line formuláře k registraci a poskytli podpůrné dokumenty na podporu svých práv (fáze registrace). Ve druhé fázi dotčení akcionáři a věřitelé, jejichž postavení bylo ověřeno SRB, mohli předložit své připomínky k předběžnému rozhodnutí SRB a ocenění 3 („fáze konzultace“). Ke dni zahájení fáze registrace, SRB zveřejnil na internetové stránce registrace k řízení týkajícímu se práva být vyslechnut a na svých internetových stránkách prohlášení o ochraně osobních údajů týkající se zpracování osobních údajů v rámci tohoto řízení týkajícího se práva být vyslechnut.
Údaje shromážděné během fáze registrace byly přístupné omezenému počtu zaměstnanců SRB odpovědných za zpracování těchto údajů za účelem určení způsobilosti účastníků. Tato data nebyla viditelná zaměstnancům SRB odpovědným za zpracování připomínek obdržených ve fázi konzultace, během níž obdrželi pouze připomínky identifikované odkazem na alfanumerický kód přiřazený každé připomínce předložené prostřednictvím formuláře.
Po seskupení, automatickém filtrování a kategorizaci připomínek předal CRU společnosti Deloitte k vyhodnocení komentáře týkající se provedeného ocenění. Připomínky předané společnosti Deloitte představovaly pouze ty, které byly obdrženy ve fázi konzultace, a obsahovaly alfanumerický kód. Za pomoci tohoto kódu byl SRB jediným, kdo mohl spojit připomínky s údaji obdrženými ve fázi registrace. Společnost Deloitte neměla a stále nemá přístup k databázi shromážděné ve fázi registrace.
V této souvislosti, vzhledem k tomu, že prohlášení o ochraně osobních údajů týkající se zpracování osobních údajů zveřejněné CRU neobsahovalo žádnou zmínku o předávání údajů shromážděných prostřednictvím formuláře třetím stranám, dotčení akcionáři a věřitelé (dále jen "stěžovatelé") zaslali, na základě nařízení 2018/1725(4), pět stížností Evropskému inspektorovi ochrany údajů (EIOÚ). Tvrdili, že SRB porušil své informační povinnosti týkající se zpracování osobních údajů podle tohoto nařízení(5).
EIOÚ přijal původní rozhodnutí, které bylo na základě žádosti SRB o přezkum zrušeno a nahrazeno přepracovaným rozhodnutím, ve kterém EIOÚ měl za to, že SRB porušil ustanovení tohoto nařízení tím, že v prohlášení o ochraně osobních údajů neinformoval stěžovatele o možnosti, že jejich osobní údaje budou předány společnosti Deloitte. SRB poté podal žalobu k Tribunálu, ve které se domáhal zejména zrušení tohoto přepracovaného rozhodnutí EIOÚ.
Tribunál rozhodující v rozšířeném senátu vyhověl této žalobě SRB a zrušil přepracované rozhodnutí EIOÚ, přičemž objasnil pojem osobních údajů s ohledem na rozsudky Nowak(6) a Breyer(7) vynesené Soudním dvorem.
Závěry Tribunálu
Tribunál ve svém rozsudku upřesnil pojem osobní údaje ve smyslu čl. 3 bodu 1 nařízení 2018/1725, definovaný jako „veškeré informace o identifikované nebo identifikovatelné fyzické osobě“. Aby informace představovala osobní údaj, musí být splněny dvě kumulativní podmínky, a sice že tato informace „[je] o“ fyzické osobě a tato osoba je „identifikovaná nebo identifikovatelná“.
Zaprvé Tribunál posoudil, zda EIOÚ mohl mít správně za to, že informace předané společnosti Deloitte „[jsou] o“ fyzické osobě ve smyslu tohoto ustanovení.
Úvodem Tribunál konstatoval, že v přepracovaném rozhodnutí EIOÚ kvalifikoval jako „osobní údaje“ všechny připomínky vyjádřené dotčenými akcionáři a věřiteli v rámci fáze konzultace a neomezil své posouzení pouze na informace předané společnosti Deloitte. Vzhledem k tomu, že porušení povinností SRB týkajících se zpracování osobních údajů podle nařízení 2018/1725 konstatované v přepracovaném rozhodnutí se týkalo pouze skutečnosti, že SRB v prohlášení o ochraně osobních údajů neuvedl, že Deloitte je potenciálním příjemcem určitých údajů, měl Tribunál za to, že je třeba se omezit na posouzení, zda informace předané společnosti Deloitte byly osobními údaji ve smyslu čl. 3 bodu 1 nařízení 2018/1725.
V tomto rámci Tribunál připomenul cíl zákonodárce přiznat pojmu osobní údaje široký význam, přičemž tento pojem se neomezuje na informace, které jsou citlivé nebo patří do soukromé sféry, ale potenciálně zahrnuje všechny druhy informací, a to jak objektivní, tak subjektivní, jako názory nebo hodnocení pod podmínkou, že [jsou] o dotčené osobě.
V tomto ohledu Tribunál rovněž poznamenal, že ve výše uvedeném rozsudku Nowak Soudní dvůr již měl příležitost judikovat, že tato podmínka je splněna, pokud je informace z důvodu svého obsahu, účelu nebo účinků spojena s určitou osobou. V přepracovaném rozhodnutí však EIOÚ nezkoumal obsah, účel ani účinky informací předaných společnosti Deloitte. Omezil se totiž na uvedení toho, že připomínky předložené stěžovateli ve fázi konzultace odrážejí jejich názory nebo stanoviska, a pouze na tomto základě dospěl k závěru, že představují informace, které se jich týkají, což postačuje k tomu, aby byly kvalifikovány jako osobní údaje. Nelze zajisté vyloučit, že osobní stanoviska nebo názory představují osobní údaje. Z rozsudku Nowak(8) však vyplývá, že takový závěr nemůže být založen na domněnce, jakou je domněnka použitá ze strany EIOÚ, ale musí být založen na přezkumu, jehož cílem je určit, zda stanovisko s určitou osobou souvisí svým obsahem, účelem nebo účinky. Z toho vyplývá, že jelikož EIOÚ takový přezkum neprovedl, nemohl dospět k závěru, že informace předané společnosti Deloitte představují informace „o“ fyzické osobě ve smyslu čl. 3 bodu 1 nařízení 2018/1725.
Zadruhé Tribunál přezkoumal posouzení EIOÚ týkající se otázky, zda se informace předané společnosti Deloitte týkaly „identifikované nebo identifikovatelné“ fyzické osoby ve smyslu tohoto ustanovení.
V tomto ohledu Tribunál uvedl, že není zpochybňováno, že alfanumerický kód uvedený na informacích předaných společnosti Deloitte sám o sobě neumožňoval identifikovat autory připomínek a Deloitte neměla přístup k identifikačním údajům obdrženým ve fázi registrace, které by umožnily spojit účastníky s jejich připomínkami díky alfanumerickému kódu. EIOÚ uvedl, že další informace nezbytné k identifikaci autorů připomínek spočívaly v alfanumerickém kódu a identifikační databázi. Je pravda, že s ohledem na výše uvedený rozsudek Breyer(9), skutečnost, že doplňující informace nezbytné k identifikaci autorů připomínek obdržených ve fázi konzultace neměla v držení Deloitte, ale SRB, se nejeví být takové povahy, aby a priori vylučovala, že informace předané společnosti Deloitte pro ni představovaly osobní údaje. Z téhož rozsudku však rovněž vyplývá, že pro určení, zda informace předané společnosti Deloitte představují osobní údaje, je třeba vycházet z jejího úhlu pohledu za účelem určení, zda se informace, které jí byly předány, týkají „identifikovatelných osob“.
Podle výše uvedeného rozsudku Breyer(10) tedy přísluší EIOÚ, aby přezkoumal, zda připomínky předané společnosti Deloitte představovaly ve vztahu k ní osobní údaje. Podle Tribunálu tak EIOÚ nesprávně tvrdí, že nebylo nutné zjišťovat, zda autoři informací předaných společnosti Deloitte byli touto společností zpětně identifikovatelní nebo zda tato zpětná identifikace byla rozumně možná. Tribunál konstatoval, že EIOÚ měl v přepracovaném rozhodnutí za to, že skutečnost, že SRB měl k dispozici další informace umožňující zpětnou identifikaci autorů připomínek, postačovala k závěru, že informace předané společnosti Deloitte jsou osobními údaji, přičemž uznal, že identifikační údaje obdržené ve fázi registrace nebyly společnosti Deloitte sděleny. Z přepracovaného rozhodnutí tak vyplývá, že EIOÚ pouze zkoumal možnost zpětné identifikace autorů připomínek z pohledu SRB, a nikoli společnosti Deloitte. Z výše uvedeného rozsudku Breyer(11) přitom vyplývá, že EIOÚ měl určit, zda možnost kombinovat informace, které byly předány společnosti Deloitte, s dalšími informacemi, jež má SRB k dispozici, představuje prostředek, který Deloitte mohla rozumně uplatnit k identifikaci autorů připomínek.
Vzhledem k tomu, že EIOÚ nezkoumal, zda společnost Deloitte disponovala v praxi legálními a proveditelnými prostředky, jež by jí umožňovaly přístup k dalším informacím nezbytným ke zpětné identifikaci autorů připomínek, nemohl EIOÚ dospět k závěru, že informace předané společnosti Deloitte představují informace týkající se „identifikovatelné fyzické osoby“ ve smyslu čl. 3 bodu 1 nařízení 2018/1725. V důsledku toho Tribunál přepracované rozhodnutí EIOÚ zrušil.