Byla T‑557/20
Bendra pertvarkymo valdyba (BPV)
prieš
Europos duomenų apsaugos priežiūros pareigūną
2023 m. balandžio 26 d. Bendrojo Teismo (aštuntoji išplėstinė kolegija) sprendimas
„Asmens duomenų apsauga – Kompensacijos mokėjimo akcininkams ir kreditoriams po banko pertvarkymo procedūra – EDAPP sprendimas, kuriuo nustatyta, kad BPV pažeidė su asmens duomenų tvarkymu susijusias pareigas – Reglamento (ES) 2018/1725 15 straipsnio 1 dalies d punktas – Sąvoka „Asmens duomenys“ – Reglamento 2018/1725 3 straipsnio 1 punktas – Teisė susipažinti su byla“
1. Ieškinys dėl panaikinimo – Aktai, dėl kurių galima pareikšti ieškinį – Sąvoka – Aktai, sukeliantys privalomų teisinių pasekmių – Aktai, pakeičiantys ieškovo teisinę padėtį – Peržiūrėtas Europos duomenų apsaugos priežiūros pareigūno (EDAPP) sprendimas, kuriuo nustatyta, kad Bendra pertvarkymo valdyba (BPV) pažeidė su asmens duomenų tvarkymu susijusias pareigas – Įtraukimas
(SESV 263 straipsnis; Europos Parlamento ir Tarybos reglamento 2018/1725 15 straipsnio 1 dalies d punktas)
(žr. 44–46, 50–54 punktus)
2. Europos Sąjungos institucijos – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2018/1725 – Asmens duomenų sąvoka – Bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti – Bendros pertvarkymo valdybos (BPV) pradėta procedūra dėl teisės būti išklausytam po to, kai buvo nustatytos banko pertvarkymo priemonės – Akcininkų ir kreditorių, kuriems šios priemonės turi įtakos, komentarai, pateikti BPV – Nepriklausomai trečiajai šaliai BPV perduoti komentarai, kad būtų įvertinti – Europos duomenų apsaugos priežiūros pareigūno (EDAPP) sprendimas, kuriuo nustatyta, kad BPV pažeidė su šių akcininkų ir kreditorių asmens duomenų tvarkymu susijusias pareigas – EDAPP neatliktas komentarų turinio, tikslo ir jų poveikio nagrinėjimas – EDAPP neatliktas nustatymas, ar nepriklausoma trečioji šalis turi teisėtų ir praktiškai įgyvendinamų priemonių, leidžiančių jai susipažinti su papildoma informacija, būtina perduotų komentarų autorių tapatybei nustatyti – EDAPP sprendimo panaikinimas
(Europos Parlamento ir Tarybos reglamento Nr. 806/2014 20 straipsnio 16 dalis ir Europos Parlamento ir Tarybos reglamento 2018/1725 3 straipsnio 1 punktas)
(žr. 64–75, 94–98, 100–106 punktus)
Santrauka
2017 m. birželio mėn. Bendroji pertvarkymo valdyba (BPV), remdamasi Reglamentu Nr. 806/2014(1), patvirtino banko Banco Popular Español SA pertvarkymo schemą. Siekiant nustatyti, ar akcininkams ir kreditoriams, patiriantiems pertvarkymo priemonės poveikį, būtų buvusios sudarytos geresnės sąlygos, jei šiai įstaigai būtų buvusi taikoma įprastinė nemokumo procedūra, reglamente reikalaujama, kad įsikištų nepriklausoma trečioji šalis ir atliktų skirtingų sąlygų vertinimą(2). BPV pavedė Deloitte atlikti šį vertinimą.
Atlikus šį vertinimą, BPV priėmė preliminarų sprendimą dėl to, ar skirti kompensaciją nukentėjusiems akcininkams ir kreditoriams, ir pradėjo teisės būti išklausytam procedūrą, kad galėtų priimti galutinį sprendimą(3). Vykstant šiai dviejų etapų procedūrai, poveikį patiriančių akcininkų ir kreditorių buvo visų pirma paprašyta naudojant internetinę registracijos formą nurodyti savo suinteresuotumą pasinaudoti teise būti išklausytiems ir pateikti jų teises pagrindžiančius įrodymus (registracijos etapas). Antrajame etape poveikį patiriantys akcininkai ir kreditoriai, kurių statusą patikrino BPV, galėjo pateikti rašytinius komentarus dėl preliminaraus sprendimo ir vertinimo (konsultacijų etapas). Registracijos etapo pradžios dieną BPV registracijos į procedūrą dėl teisės būti išklausytam tinklalapyje paskelbė privatumo pareiškimą dėl asmens duomenų tvarkymo vykstant šiai procedūrai.
Prieigą prie registracijos etape surinktų duomenų turėjo ribotas skaičius BPV darbuotojų, atsakingų už šių duomenų tvarkymą nustatant dalyvių atitiktį reikalavimams. Šių duomenų negalėjo matyti BPV darbuotojai, atsakingi už konsultacijų etape gautų komentarų tvarkymą; vykstant šiam etapui, jie gaudavo tik tuos komentarus, kurie buvo identifikuojami pagal raidinį skaitmeninį kodą, priskirtą kiekvienam komentarui, pateiktam naudojant formą.
Apibendrinusi, automatiškai išfiltravusi ir suskirsčiusi komentarus, BPV perdavė komentarus dėl vertinimo bendrovei Deloitte, kad ši juos išanalizuotų. Deloitte buvo perduoti tik konsultacijų etape gauti komentarai, kuriems buvo priskirtas raidinis skaitmeninis kodas. Naudodamasi šiuo kodu BPV vienintelė galėjo susieti komentarus su registracijos etape gautais duomenimis. Deloitte neturėjo ir vis dar neturi prieigos prie duomenų, surinktų registracijos etape.
Šiomis aplinkybėmis, kadangi BPV paskelbtame privatumo pareiškime apie asmens duomenų tvarkymą nebuvo užsiminta apie formoje surinktų duomenų perdavimą trečiosioms šalims, poveikį patyrę akcininkai ir kreditoriai (toliau – pareiškėjai), remdamiesi Reglamentu 2018/1725(4), pateikė penkis skundus Europos duomenų apsaugos priežiūros pareigūnui (EDAPP). Jie teigė, kad BPV pažeidė šiame reglamente jai nustatytas pareigas pateikti informaciją apie asmens duomenų tvarkymą(5).
EDAPP priėmė pirminį sprendimą, kuris, BPV paprašius jį persvarstyti, buvo panaikintas ir pakeistas peržiūrėtu sprendimu, kuriame EDAPP nustatė, kad BPV pažeidė šio reglamento nuostatą, nes privatumo pareiškime neinformavo pareiškėjų apie tai, kad jų asmens duomenys gali būti perduoti Deloitte. Tada BPV Bendrajame Teisme pareiškė ieškinį, siekdama, kad, be kita ko, būtų panaikintas EDAPP sprendimas.
Bendrojo Teismo išplėstinė kolegija patenkino BPV ieškinį ir panaikino peržiūrėtą EDAPP sprendimą; atsižvelgdamas į Teisingumo Teismo priimtus sprendimus Nowak(6) ir Breyer(7) jis patikslino asmens duomenų sąvoką.
Bendrojo Teismo vertinimas
Savo sprendime Bendrasis Teismas patikslino asmens duomenų sąvoką, kaip ji suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą; ji apibrėžiama kaip „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti“. Tam, kad informacija būtų laikoma asmens duomenimis, turi būti įvykdytos dvi kumuliacinės sąlygos: pirma, ši informacija turi būti „apie“ fizinį asmenį ir, antra, šio asmens tapatybė „nustatyta arba kurio [jo] tapatybę galima nustatyti“
Pirma, Bendrasis Teismas išnagrinėjo, ar EDAPP galėjo pagrįstai manyti, kad Deloitte perduota informacija yra „apie“ fizinį asmenį, kaip tai suprantama pagal šią nuostatą.
Pirmiausia Bendrasis Teismas konstatavo, kad peržiūrėtame sprendime EDAPP visus konsultacijų etape pateiktus poveikį patyrusių akcininkų ir kreditorių komentarus kvalifikavo kaip „asmens duomenis“ ir savo vertinimo neapribojo vien Deloitte perduota informacija. Kadangi peržiūrėtame sprendime konstatuotas BPV pareigų dėl asmens duomenų tvarkymo pagal Reglamentą 2018/1725 pažeidimas susijęs tik su tuo, kad privatumo pareiškime BPV nenurodė, jog Deloitte bus potenciali tam tikrų duomenų gavėja, Bendrasis Teismas nustatė, kad pakanka išnagrinėti, ar Deloitte perduota informacija yra asmens duomenys, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą.
Šiomis aplinkybėmis Bendrasis Teismas priminė teisės aktų leidėjo tikslą asmens duomenų sąvokai suteikti plačią reikšmę – ji reiškia ne tik neskelbtiną arba asmeninio pobūdžio informaciją, bet galimai apima bet kokią informaciją, tiek objektyvią, tiek subjektyvią, pranešimo ar vertinimo forma su sąlyga, kad ji yra apie atitinkamą asmenį.
Šiuo klausimu Bendrasis Teismas taip pat konstatavo, kad minėtame Sprendime Nowak Teisingumo Teismas jau turėjo galimybę pripažinti, kad ši sąlyga tenkinama, jeigu informacija, atsižvelgiant į jos turinį, tikslą ir poveikį, susijusi su konkrečiu asmeniu. Vis dėlto peržiūrėtame sprendime EDAPP nenagrinėjo nei Deloitte perduotos informacijos turinio, nei jos tikslo ar poveikio. Iš tiesų jis tik nurodė, kad vykstant konsultacijų etapui pareiškėjų pateikti komentarai atspindi jų nuomonę ar požiūrį, ir remdamasis vien šiuo pagrindu padarė išvadą, kad tai yra informacija apie pareiškėjus, o to pakanka, kad ji būtų laikoma asmens duomenimis. Žinoma, negalima atmesti galimybės, kad asmeninė nuomonė ar požiūris yra asmens duomenys. Vis dėlto iš Sprendimo Nowak(8) matyti, kad tokia išvada negali būti grindžiama prezumpcija, kurią taikė BPV, bet turi būti grindžiama tyrimu, kuriuo siekiama nustatyti, ar dėl savo turinio, tikslo ar poveikio tam tikra nuomonė yra susijusi su konkrečiu asmeniu. Darytina išvada, kad, neatlikęs tokio nagrinėjimo, EDAPP negalėjo padaryti išvados, kad Deloitte perduota informacija yra informacija, „apie“ fizinį asmenį, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą.
Antra, Bendrasis Teismas išnagrinėjo EDAPP vertinimą dėl to, ar Deloitte perduota informacija buvo susijusi su fiziniu asmeniu, kurio asmens tapatybė „nustatyta arba [kurią] galima nustatyti“.
Šiuo klausimu Bendrasis Teismas pažymėjo, kad neginčijama, jog, pirma, vien remiantis Deloitte perduotoje informacijoje esančiu raidiniu skaitmeniniu kodu nebuvo galima nustatyti komentarų autorių tapatybės ir, antra, Deloitte neturėjo prieigos prie tapatybės nustatymo duomenų, gautų registracijos etape ir leidžiančių susieti dalyvius su jų komentarais, naudojant tokį kodą. EDAPP nurodė, kad papildoma informacija, reikalinga komentarų autorių tapatybei nustatyti, yra raidinis skaitmeninis kodas ir tapatybės nustatymo duomenų bazė. Žinoma, atsižvelgiant į minėtą Sprendimą Breyer(9), tai, kad papildomą informaciją, reikalingą konsultacijų etape gautų komentarų autorių tapatybei nustatyti, turėjo ne Deloitte, o BPV, a priori negali paneigti, kad Deloitte perduota informacija yra asmens duomenys. Vis dėlto iš to paties sprendimo taip pat matyti, kad siekiant nustatyti, ar Deloitte perduota informacija yra asmens duomenys, žvelgiant iš jos perspektyvos, reikia nustatyti, ar perduota informacija yra apie „asmenis, kurių tapatybę galima nustatyti“.
Taigi taikydama minėtą Sprendimą Breyer(10) EDAPP turėjo išnagrinėti, ar Deloitte perduoti komentarai jos atžvilgiu yra asmens duomenys. Bendrojo Teismo teigimu, EDAPP klaidingai teigia, kad nereikėjo aiškintis, ar Deloitte galėjo pakartotinai nustatyti jai perduotos informacijos autorių tapatybę ir ar toks pakartotinis nustatymas buvo pagrįstai įmanomas. Bendrasis Teismas konstatavo, kad peržiūrėtame sprendime EDAPP nustatė, jog aplinkybės, kad BPV turėjo papildomos informacijos, leidžiančios iš naujo nustatyti komentarų autorių tapatybę, pakako, kad būtų galima daryti išvadą, jog Deloitte perduota informacija yra asmens duomenys, ir pripažino, kad registracijos etape gauti tapatybės nustatymo duomenys nebuvo perduoti Deloitte. Taigi iš peržiūrėto sprendimo matyti, kad EDAPP išnagrinėjo galimybę iš naujo nustatyti komentarus pateikusių asmenų tapatybę tik BPV, o ne Deloitte požiūriu. Iš minėto Sprendimo Breyer(11) matyti, kad EDAPP turėjo nustatyti, ar galimybė Deloitte perduotą informaciją susieti su BPV turima papildoma informacija yra priemonė, kurios Deloitte galėjo pagrįstai imtis, kad nustatytų komentarų autorių tapatybę.
Vadinasi, kadangi EDAPP nepatikrino, ar Deloitte turėjo teisėtų ir praktiškai įgyvendinamų priemonių, leidžiančių jai susipažinti su papildoma informacija, būtina komentarų autorių tapatybei nustatyti, jis negalėjo daryti išvados, kad Deloitte perduota informacija yra informacija apie „fizinį asmenį, kurio tapatybę galima nustatyti“, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą. Todėl Bendrasis Teismas panaikino peržiūrėtą EDAPP sprendimą.