T‑557/20. sz. ügy
Egységes Szanálási Testület (ESZT)
kontra
Európai adatvédelmi biztos
A Törvényszék ítélete (kibővített nyolcadik tanács), 2023. április 26.
„A személyes adatok védelme – Részvényesek és hitelezők valamely bank szanálásából következő kárainak megtérítésére irányuló eljárás – Az európai adatvédelmi biztos határozata, amely megállapítja, hogy az ESZT megsértette a személyes adatok kezelésével kapcsolatos kötelezettségeit – Az (EU) 2018/1725 rendelet 15. cikke (1) bekezdésének d) pontja – A személyes adatok fogalma – A 2018/1725 rendelet 3. cikkének 1. pontja – Iratbetekintési jog”
1. Megsemmisítés iránti kereset – Keresettel megtámadható aktusok – Fogalom – Kötelező joghatásokat kiváltó aktusok – A felperes jogi helyzetét módosító aktusok – Az európai adatvédelmi biztos felülvizsgált határozata, amely megállapítja, hogy az Egységes Szanálási Testület (ESZT) megsértette a személyes adatok kezelésével kapcsolatos kötelezettségeit – Bennfoglaltság
(EUMSZ 263. cikk; 2018/1725 európai parlamenti és tanácsi rendelet, 15. cikk, (1) bekezdés, d) pont)
(lásd: 44., 46., 50–54. pont)
2. Az Európai Unió intézményei – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2018/1725 rendelet – A személyes adatok fogalma – Azonosított vagy azonosítható magánszemélyre vonatkozó valamennyi információ – Az Egységes Szanálási Testület (ESZT) által bankszanálási intézkedések elfogadását követően indított, a meghallgatáshoz való jogra vonatkozó eljárás – Az ezen intézkedések által érintett részvényesek és hitelezők által az ESZT‑hez benyújtott észrevételek – Az ESZT által egy független harmadik félnek értékelés céljából továbbított észrevételek – Az európai adatvédelmi biztos határozata, amely megállapítja, hogy az ESZT nem teljesítette az e részvényesek és hitelezők adatainak kezelésével kapcsolatos kötelezettségeit – Az észrevételek tartalma, célja és hatásai európai adatvédelmi biztos általi vizsgálatának hiánya – Annak hiánya, hogy az európai adatvédelmi biztos megállapította volna annak lehetőségét, hogy független harmadik személyek rendelkeznek jogszerű és a gyakorlatban megvalósítható eszközökkel, amelyek hozzáférhetővé teszik az átadott észrevételek szerzőinek újbóli azonosításához szükséges további adatokat – Az európai adatvédelmi biztos határozatának megsemmisítése
(806/2014 európai parlamenti és tanácsi rendelet, 20. cikk, (16) bekezdés és 2018/1725 európai parlamenti és tanácsi rendelet, 3. cikk, 1. pont)
(lásd: 64–75., 94–98., 100–106. pont)
Összefoglalás
2017 júniusában az Egységes Szanálási Testület (ESZT) a 806/2014 rendelet(1) alapján szanálási programot fogadott el egy bank, a Banco Popular Español SA tekintetében. Annak meghatározása érdekében, hogy a szanálási intézkedés által érintett részvényesek és hitelezők jobb elbánásban részesültek volna‑e, ha ezen intézményt általános fizetésképtelenségi eljárás alá vonták volna, e rendelet az eltérő bánásmód értékelése érdekében független harmadik fél beavatkozását írja elő.(2) Az ESZT a Deloitte irodát bízta meg ezzel az értékeléssel.
Ezen értékelés elvégzését követően az ESZT előzetes határozatot fogadott el arról, hogy az érintett részvényeseknek és hitelezőknek kártalanítást kell‑e nyújtani, és eljárást indított a meghallgatáshoz való joggal kapcsolatban annak érdekében, hogy végleges határozatot hozhasson.(3) Ezen, két szakaszra bontott eljárás során az érintett részvényeseket és hitelezőket először arra hívták fel, hogy egy online regisztrációs formanyomtatvány segítségével közöljék a meghallgatáshoz való joguk gyakorlásához fűződő érdeküket, és nyújtsák be a jogaikat igazoló iratokat (nyilvántartásba vételi szakasz). Másodszor az érintett részvényesek és hitelezők, akiknek jogállását az ESZT ellenőrizte, benyújthatták az ESZT előzetes határozatára és az értékelésre vonatkozó írásbeli észrevételeiket (konzultációs szakasz). A nyilvántartásba vételi szakasz megnyitásának időpontjában az ESZT a meghallgatáshoz való joggal kapcsolatos eljárásra vonatkozó regisztrációs internetes oldalon közzétett egy, a személyes adatoknak az ezen eljárás keretében történő kezelésével kapcsolatos titoktartási nyilatkozatot.
A nyilvántartásba vételi szakaszban gyűjtött adatokhoz a résztvevők jogosultságának meghatározása érdekében az ESZT személyzetének korlátozott számú, ezen adatok kezelésével megbízott tagja férhetett hozzá. Ezek az adatok nem voltak láthatók az ESZT személyi állományának a konzultációs szakaszban kapott észrevételek kezelésével megbízott tagjai számára, amelynek során ez utóbbiak kizárólag az űrlapon benyújtott egyes észrevételekhez rendelt alfanumerikus kódra való hivatkozással azonosított észrevételeket kaptak.
Az észrevételek összesítését, automatikus szűrését és kategorizálását követően az ESZT vizsgálat céljából megküldte a Deloitte‑nak az elvégzett értékelésre vonatkozó észrevételeket. A Deloitte‑nak átadott észrevételek kizárólag a konzultációs szakaszban kapott észrevételek közül valóak voltak, és alfanumerikus kóddal voltak ellátva. E kód útján egyedül az ESZT volt képes összekapcsolni az észrevételeket a nyilvántartásba vételi szakaszban kapott adatokkal. A Deloitte nem rendelkezett és nem is rendelkezik hozzáféréssel a nyilvántartásba vételi szakaszban összeállított adatbázishoz.
Ebben az összefüggésben, mivel a személyes adatok kezelésére vonatkozó, az ESZT által közzétett titoktartási nyilatkozat nem tartalmazott említést a formanyomtatványon gyűjtött adatok harmadik felek részére történő továbbításáról, egyes érintett részvényesek és hitelezők (a továbbiakban: panaszosok) a 2018/1725 rendelet(4) alapján öt panaszt nyújtottak be az európai adatvédelmi biztoshoz. Azt állították, hogy az ESZT megsértette a személyes adatok e rendelet szerinti kezelésével kapcsolatos tájékoztatási kötelezettségeit.(5)
Az európai adatvédelmi biztos eredetileg olyan határozatot fogadott el, amelyet az ESZT általi benyújtott felülvizsgálat iránti kérelem alapján hatályon kívül helyezett és felváltott egy felülvizsgált határozat, amelyben az európai adatvédelmi biztos úgy ítélte meg, hogy az ESZT megsértette e rendelet egyik rendelkezését, mivel a titoktartási nyilatkozatban nem tájékoztatta a panaszosokat arról a lehetőségről, hogy személyes adataikat közölhetik a Deloitte‑tal. Az ESZT ezért keresetet indított a Törvényszék előtt többek között az európai adatvédelmi biztos e felülvizsgált határozatának megsemmisítése iránt.
Kibővített tanácsban eljárva a Törvényszék helyt ad az ESZT e keresetének, és megsemmisíti az európai adatvédelmi biztos felülvizsgált határozatát, pontosítva a személyes adatok fogalmát a Bíróság Nowak(6) és Breyer(7) ítéleteire tekintettel.
A Törvényszék álláspontja
Ítéletében a Törvényszék pontosításokkal szolgál a 2018/1725 rendelet 3. cikkének 1. pontja értelmében vett személyes adat fogalmát illetően, amelyet úgy határoznak meg, hogy az „azonosított vagy azonosítható természetes személyre […] vonatkozó bármely információ”. Ahhoz, hogy valamely információ személyes adatnak minősüljön, két együttes feltétel teljesülése szükséges: egyrészt, hogy az információ természetes személyre „vonatkozzon”, másrészt hogy e természetes személy „azonosított vagy azonosítható” legyen.
Először a Törvényszék megvizsgálja, hogy az európai adatvédelmi biztos jogosan vélhette‑e úgy, hogy a Deloitte‑nak továbbított információk az e rendelkezés értelmében vett természetes személyre „vonatkoznak”.
Előzetesen a Törvényszék megállapítja, hogy a felülvizsgált határozatban az európai adatvédelmi biztos személyes adatoknak minősítette az érintett részvényesek és hitelezők által a konzultációs szakaszban megfogalmazott valamennyi észrevételt, és nem korlátozta értékelését kizárólag a Deloitte‑nak megküldött információkra. Márpedig, mivel az ESZT 2018/1725 rendeleten alapuló, személyes adatok kezelésével kapcsolatos kötelezettségeinek a felülvizsgált határozatban megállapított megsértése kizárólag arra a tényre vonatkozott, hogy az ESZT a titoktartási nyilatkozatban nem említette, hogy a Deloitte bizonyos adatok potenciális címzettje, a Törvényszék úgy véli, hogy annak vizsgálatára kell szorítkozni, hogy a Deloitte részére továbbított információk a 2018/1725 rendelet 3. cikkének 1. pontja értelmében vett személyes adatok voltak‑e.
Ennek keretében a Törvényszék emlékeztet a jogalkotó azon célkitűzésére, hogy tág értelmet tulajdonítson a személyes adat fogalmának, amely nem korlátozódik az érzékeny vagy magánjellegű információkra, hanem potenciálisan magában foglal mindenféle, akár objektív, akár szubjektív információt, mint például a vélemények vagy értékelések, feltéve hogy azok a szóban forgó személyre vonatkoznak.
E tekintetben a Törvényszék azt is megállapítja, hogy a Bíróságnak a fent hivatkozott Nowak ítéletében már volt alkalma megállapítani e feltétel teljesülését, amennyiben az információ tartalma, célja vagy hatása miatt egy meghatározott személyhez kapcsolódik. Márpedig a felülvizsgált határozatban az európai adatvédelmi biztos nem vizsgálta a Deloitte‑nak továbbított információknak sem a tartalmát, sem a célját, sem a hatását. Annak jelzésére szorítkozott, hogy a panaszosok által a konzultációs szakaszban benyújtott észrevételek tükrözik a véleményüket vagy az álláspontjukat, és pusztán ezen az alapon arra a következtetésre jutott, hogy azok rájuk vonatkozó információknak minősülnek, ami elegendő ahhoz, hogy személyes adatoknak lehessen őket minősíteni. Természetesen nem zárható ki, hogy a személyes szempontok vagy a vélemények személyes adatoknak minősüljenek. Mindazonáltal a Nowak ítélet(8) 34. és 35. pontjából kitűnik, hogy az ilyen következtetés nem alapítható az európai adatvédelmi biztos által alkalmazott vélelemre, hanem annak vizsgálatára kell támaszkodnia, hogy tartalma, célja vagy hatása miatt valamely álláspont kapcsolódik‑e egy meghatározott személyhez. Ebből következik, hogy az európai adatvédelmi biztos, mivel nem végzett ilyen vizsgálatot, nem juthatott arra a következtetésre, hogy a Deloitte‑nak továbbított információk a 2018/1725 rendelet 3. cikkének 1. pontja értelmében vett, természetes személyre „vonatkozó” információknak minősülnek.
Másodszor a Törvényszék megvizsgálja az európai adatvédelmi biztos arra vonatkozó értékelését, hogy a Deloitte‑nak megküldött információk e rendelkezés értelmében „azonosított vagy azonosítható” természetes személyre vonatkoztak‑e.
E tekintetben a Törvényszék rögzíti, hogy nem vitatott egyrészt, hogy a Deloitte‑nak megküldött információkon szereplő alfanumerikus kód önmagában nem tette lehetővé az észrevételek szerzőinek azonosítását, másrészt pedig az, hogy a Deloitte nem fért hozzá a nyilvántartásba vételi szakaszban kapott azon azonosító adatokhoz, amelyek lehetővé tették volna, hogy a résztvevőket összekapcsolják az észrevételeikkel e kódnak köszönhetően. Az európai adatvédelmi biztos jelezte, hogy az észrevételek szerzőinek azonosításához szükséges további információk az alfanumerikus kódból és az azonosító adatbázisból álltak. Kétségtelen, hogy a fent hivatkozott Breyer ítéletre(9) tekintettel az a tény, hogy a konzultációs szakaszban kapott észrevételek szerzőinek azonosításához szükséges további információk nem a Deloitte, hanem az ESZT birtokában voltak, nem tűnik olyan jellegűnek, amely eleve kizárta volna, hogy a Deloitte‑nak továbbított információk a Deloitte számára személyes adatoknak minősüljenek. Mindazonáltal ugyanezen ítéletből az is kitűnik, hogy annak meghatározásához, hogy a Deloitte‑nak továbbított információk személyes adatoknak minősülnek‑e, a Deloitte szemszögéből kell meghatározni, hogy a részére továbbított információk „azonosítható személyekre” vonatkoztak‑e.
Ennélfogva a fent hivatkozott Breyer ítélet alapján(10) az európai adatvédelmi biztosnak meg kellett volna vizsgálnia, hogy a Deloitte‑nak továbbított észrevételek a Deloitte tekintetében személyes adatoknak minősülnek‑e. Így a Törvényszék szerint az európai adatvédelmi biztos tévesen állítja, hogy nem volt szükséges megvizsgálni, hogy a Deloitte‑nak átadott információk szerzőit ez utóbbi újra azonosíthatja‑e, vagy hogy ez az újbóli azonosítás észszerűen lehetséges volt‑e. A Törvényszék megállapítja, hogy a felülvizsgált határozatban az európai adatvédelmi biztos úgy ítélte meg, hogy az, hogy az ESZT rendelkezik az észrevételek szerzőinek újbóli azonosítását lehetővé tevő további információkkal, elegendő annak megállapításához, hogy a Deloitte‑nak továbbított információk személyes adatoknak minősültek, elismerve ugyanakkor, hogy a nyilvántartásba vételi szakaszban kapott azonosító adatokat nem közölték a Deloitte‑tal. Így a felülvizsgált határozatból kitűnik, hogy az európai adatvédelmi biztos annak lehetőségének vizsgálatára szorítkozott, hogy az ESZT – nem pedig a Deloitte – szemszögéből újra azonosítsák az észrevételeket tevőket. Márpedig a fent hivatkozott Breyer ítéletből kitűnik,(11) hogy az európai adatvédelmi biztos feladata annak meghatározása volt, hogy a Deloitte‑nak átadott információknak az ESZT birtokában lévő további információkkal való kombinálásának lehetősége olyan eszköznek minősült‑e, amelyet a Deloitte észszerűen felhasználhatott az észrevételek szerzőinek azonosítására.
Következésképpen, mivel az európai adatvédelmi biztos nem vizsgálta meg, hogy a Deloitte rendelkezett‑e olyan jogszerű és a gyakorlatban megvalósítható eszközökkel, amelyek lehetővé tették volna számára, hogy hozzáférjen az észrevételeket előterjesztők újbóli azonosításához szükséges további információkhoz, az európai adatvédelmi biztos nem juthatott arra a következtetésre, hogy a Deloitte‑nak továbbított információk a 2018/1725 rendelet 3. cikkének 1. pontja értelmében vett „azonosítható természetes személyre” vonatkozó információknak minősültek. Következésképpen a Törvényszék megsemmisíti az európai adatvédelmi biztos határozatát.