Predmet T-557/20
Jedinstveni sanacijski odbor (SRB)
protiv
Europskog nadzornika za zaštitu podataka (EDPS)
Presuda Općeg suda (osmo prošireno vijeće) od 26. travnja 2023.
„Zaštita osobnih podataka – Postupak naknade štete dioničarima i vjerovnicima nakon sanacije bankarske institucije – Odluka EDPS-a kojom se utvrđuje da je SRB povrijedio svoje obveze u vezi s obradom osobnih podataka – Članak 15. stavak 1. točka (d) Uredbe (EU) 2018/1725 – Pojam ‚osobni podaci’ – Članak 3. točka 1. Uredbe 2018/1725 – Pravo na pristup spisu”
1. Tužba za poništenje – Akti koji se mogu pobijati – Pojam – Akti koji proizvode obvezujuće pravne učinke – Akti koji mijenjaju pravni položaj tužitelja – Izmijenjena odluka Europskog nadzornika za zaštitu podataka (EDPS) kojom se utvrđuje da je Jedinstveni sanacijski odbor (SRB) povrijedio svoje obveze u vezi s obradom osobnih podataka – Uključenost
(čl. 263. UFEU-a; Uredba Europskog parlamenta i Vijeća 2018/1725, čl. 15. st. 1. t. (d))
(t. 44.-46., 50.-54.)
2. Institucije Europske unije – Zaštita fizičkih osoba u vezi s obradom osobnih podataka – Uredba 2018/1725 – Pojam osobnih podataka – Svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi – Postupak koji se odnosi na pravo na saslušanje koji je Jedinstveni sanacijski odbor (SRB) pokrenuo nakon donošenja mjera sanacije bankarske institucije – Očitovanja koja su SRB-u podnijeli dioničari i vjerovnici u odnosu na koje su poduzete te mjere – Očitovanja koja je SRB proslijedio neovisnoj trećoj osobi radi ocjene – Odluka Europskog nadzornika za zaštitu podataka (EDPS) kojom se utvrđuje da je SRB povrijedio svoje obveze u vezi s obradom podataka tih dioničara i vjerovnika – EDPS-ovo neispitivanje sadržaja, svrhe i učinaka tih očitovanja – EDPS-ovo neutvrđivanje mogućnosti da je treća neovisna osoba raspolagala pravnim i ostvarivim sredstvima koja joj omogućuju pristup dodatnim informacijama potrebnima za ponovnu identifikaciju autorâ proslijeđenih očitovanja – Poništenje EDPS-ove odluke
(Uredba br. 806/2014 Europskog parlamenta i Vijeća, čl. st. 16. i Uredba 2018/1725, čl. 3. t. 1.)
(t. 64.-75., 94.-98., 100.-106.)
Kratak prikaz
U lipnju 2017. Jedinstveni sanacijski odbor (SRB) donio je na temelju Uredbe (EU) br. 806/2014(1) odluku o sanacijskom programu za društvo Banco Popular Español, S.A., bankarsku instituciju. Kako bi se utvrdilo bi li se prema dioničarima i vjerovnicima na koje se odnosila mjera sanacije bolje postupalo da je nad tom institucijom proveden redovni postupak u slučaju insolventnosti, tom uredbom nalaže se intervencija treće neovisne osobe radi provedbe vrednovanja razlike u postupanju(2). To vrednovanje SRB je povjerio društvu Deloitte.
Nakon što je to vrednovanje provedeno, SRB je donio preliminarnu odluku o tome treba li isplatiti odštetu pogođenim dioničarima i vjerovnicima te je pokrenuo postupak za ostvarenje prava na saslušanje kako bi mogao donijeti konačnu odluku(3). Tijekom tog postupka, podijeljenog u dvije faze, pogođeni dioničari i vjerovnici pozvani su da najprije iskažu svoj interes za ostvarenje prava na saslušanje putem internetskog obrasca za upis i dostave dokaze postojanja svojih prava (faza upisa). Nakon toga, pogođeni dioničari i vjerovnici čiji je status SRB provjerio mogli su podnijeti svoja pisana očitovanja na SRB-ovu preliminarnu odluku i vrednovanje (faza savjetovanja). Na dan otvaranja faze prijave, SRB je na internetskoj stranici prijave u postupak u vezi s pravom na saslušanje objavio izjavu o povjerljivosti u pogledu obrade osobnih podataka u okviru tog postupka.
Podaci prikupljeni u fazi prijave bili su dostupni ograničenom broju članova osoblja SRB-a odgovornih za obradu tih podataka kako bi se utvrdilo ispunjavaju li sudionici uvjete za to. Ti podaci nisu bili vidljivi članovima SRB-ova osoblja zaduženima za obradu očitovanja primljenih u fazi savjetovanja, tijekom koje su primili samo očitovanja koja su identificirana upućivanjem na alfanumerički kod dodijeljen svakom očitovanju podnesenom putem obrasca.
Nakon agregacije, automatskog filtriranja i kategorizacije očitovanja, SRB je društvu Deloitte na procjenu proslijedio očitovanja koja se odnose na provedeno vrednovanje. Očitovanja proslijeđena društvu Deloitte odnosila su se samo na ona zaprimljena u fazi savjetovanja i sadržavala su alfanumerički kod. SRB je bio jedini koji je tim kodom mogao povezati očitovanja s podacima primljenima u fazi prijave. Društvo Deloitte nije imalo i ni dalje nema pristup bazi podataka prikupljenih u fazi prijave.
U vezi s tim, s obzirom na to da izjava o povjerljivosti koja se odnosi na obradu osobnih podataka koju je SRB objavio nije sadržavala navod o prosljeđivanju trećim osobama podataka prikupljenih putem obrasca, pogođeni dioničari i vjerovnici (u daljnjem tekstu: podnositelji pritužbi) na temelju Uredbe 2018/1725(4) podnijeli su pet pritužbi Europskom nadzorniku za zaštitu podataka (EDPS). Tvrdili su da je SRB povrijedio svoje obveze pružanja informacija u vezi s obradom osobnih podataka na temelju te uredbe(5).
EDPS je donio prvotnu odluku koja je nakon SRB-ova zahtjeva za preispitivanje stavljena izvan snage i zamijenjena izmijenjenom odlukom u kojoj je EDPS smatrao da je SRB povrijedio odredbu te uredbe jer u izjavi o povjerljivosti nije obavijestio podnositelje pritužbi o mogućnosti da se njihovi osobni podaci proslijede društvu Deloitte. SRB je stoga Općem sudu podnio tužbu za poništenje te izmijenjene odluke EDPS-a.
Odlučujući u proširenom vijeću, Opći sud prihvaća tu SRB-ovu tužbu i poništava EDPS-ovu izmijenjenu odluku pojašnjavajući pojam osobnih podataka s obzirom na presude Nowak(6) i Breyer(7) koje je donio Sud.
Ocjena Općeg suda
U svojoj presudi Opći sud pojašnjava pojam osobnih podataka u smislu članka 3. točke 1. Uredbe 2018/1725, koji je definiran kao „svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi”. Kako bi informacija bila osobni podatak, zahtijevaju se dva kumulativna uvjeta: s jedne strane, da se ta informacija „odnosi” na pojedinca i, s druge strane, da je to pojedinac „čiji je identitet utvrđen ili se može utvrditi”.
Kao prvo, Opći sud ispituje je li EDPS mogao opravdano smatrati da se informacije proslijeđene društvu Deloitte „odnose” na fizičku osobu u smislu članka 3. točke 1. Uredbe 2018/1725.
Uvodno Opći sud utvrđuje da je u izmijenjenoj odluci EDPS sva očitovanja pogođenih dioničara i vjerovnika u fazi savjetovanja kvalificirao kao „osobne podatke” i nije ograničio svoju ocjenu samo na informacije proslijeđene društvu Deloitte. Međutim, budući da se povreda obveza u vezi s obradom osobnih podataka na temelju Uredbe 2018/1725 koju je SRB počinio, a koja je utvrđena u izmijenjenoj odluci, odnosila samo na činjenicu da SRB u izjavi o povjerljivosti nije naveo da je društvo Deloitte mogući primatelj određenih podataka, valja se ograničiti na ispitivanje jesu li informacije proslijeđene društvu Deloitte osobni podaci u smislu članka 3. točke 1. Uredbe 2018/1725.
U tom okviru Opći sud podsjeća na cilj zakonodavca da pojmu osobnih podataka da široki smisao, koji nije ograničen na osjetljive ili privatne podatke, nego potencijalno obuhvaća sve vrste podataka, kako objektivnih tako i subjektivnih, u obliku mišljenja ili ocjena, pod uvjetom da se oni odnose na dotičnu osobu.
U tom pogledu Opći sud također utvrđuje da je Sud u prethodno navedenoj presudi Nowak već imao priliku presuditi da je taj uvjet ispunjen ako je zbog svojeg sadržaja, cilja ili učinka podatak povezan s određenom osobom. Međutim, u izmijenjenoj odluci EDPS nije ispitao ni sadržaj, ni svrhu, ni učinak podataka proslijeđenih društvu Deloitte. Naime, samo je naveo da očitovanja koja su podnositelji pritužbi podnijeli u fazi savjetovanja odražavaju njihova mišljenja ili njihova stajališta te je samo na temelju toga zaključio da su ta očitovanja podaci koji se na njih odnose, što je dovoljno da ih se kvalificira kao osobne podatke. Točno je da se ne može isključiti da su osobna stajališta ili mišljenja osobni podaci. Međutim, iz presude Nowak(8) proizlazi da se takav zaključak ne može temeljiti na pretpostavci poput one koju je primijenio EDPS, nego se mora temeljiti na ispitivanju je li stajalište povezano s određenom osobom svojim sadržajem, svrhom ili učinkom. Iz toga slijedi da, s obzirom na to da nije proveo takvo ispitivanje, EDPS nije mogao zaključiti da su informacije proslijeđene društvu Deloitte informacije „koje se odnose” na pojedinca u smislu članka 3. točke 1. Uredbe 2018/1725.
Kao drugo, Opći sud ispituje EDPS-ovu ocjenu u pogledu pitanja odnose li se informacije proslijeđene društvu Deloitte na pojedinca „čiji je identitet utvrđen ili se može utvrditi” u smislu te odredbe.
U tom pogledu Opći sud ističe da nije sporno, s jedne strane, da alfanumerički kod koji se nalazi na informacijama proslijeđenima društvu Deloitte sam po sebi ne omogućuje da se identificiraju autori očitovanja i, s druge strane, da društvo Deloitte nije imalo pristup identifikacijskim podacima primljenima u fazi prijave koji bi omogućili da se sudionici mogu povezati s njihovim očitovanjima zahvaljujući tom kodu. EDPS je naveo da se dodatne informacije potrebne za identifikaciju autorâ očitovanja sastoje od alfanumeričkog koda i baze podataka za identifikaciju. Točno je da s, s obzirom na prethodno navedenu presudu Breyer(9), činjenica da dodatne informacije potrebne za identifikaciju autorâ očitovanja primljenih u fazi savjetovanja nije posjedovalo društvo Deloitte nego SRB, očito ne može a priori isključiti da su informacije proslijeđene društvu Deloitte za njega osobni podaci. Međutim, iz iste presude također proizlazi da, kako bi se utvrdilo jesu li informacije proslijeđene društvu Deloitte osobni podaci, valja uzeti u obzir njegovo stajalište kako bi se utvrdilo odnose li se informacije koje su mu proslijeđene na „osobe koje se mogu identificirati”.
Zbog toga je, na temelju prethodno navedene presude Breyer(10), na EDPS-u da ispita jesu li očitovanja proslijeđena društvu Deloitte za njega osobni podaci. Zato prema mišljenju Općeg suda EDPS pogrešno tvrdi da nije bilo nužno istražiti je li autore informacija proslijeđenih društvu Deloitte potonji mogao ponovno utvrditi ili je li ta ponovna identifikacija bila razumno moguća. Opći sud utvrđuje da je u izmijenjenoj odluci EDPS smatrao da je činjenica da je SRB posjedovao dodatne informacije koje omogućuju ponovnu identifikaciju autorâ očitovanja dovoljna za zaključak da su informacije proslijeđene društvu Deloitte osobni podaci, iako je pritom priznao da oni nisu bili priopćeni društvu Deloitte. Tako iz izmijenjene odluke proizlazi da je EDPS samo ispitao mogućnost ponovne identifikacije autorâ očitovanja iz perspektive SRB-a, a ne društva Deloitte. Međutim, iz prethodno navedene presude Breyer(11)proizlazi da je na EDPS-u da utvrdi je li mogućnost kombiniranja informacija koje su proslijeđene društvu Deloitte s dodatnim informacijama koje posjeduje SRB sredstvo koje društvo Deloitte može razumno koristiti kako bi identificiralo autore očitovanja.
Slijedom toga, budući da EDPS nije istražio je li društvo Deloitte raspolagalo pravnim i ostvarivim sredstvima koja mu omogućuju pristup dodatnim informacijama potrebnima za ponovnu identifikaciju autorâ očitovanja, on nije mogao zaključiti da su informacije proslijeđene društvu Deloitte informacije koje se odnose na „pojedinca čiji se identitet može utvrditi” u smislu članka 3. točke 1. Uredbe 2018/1725. Stoga Opći sud poništava izmijenjenu odluku EDPS-a.