Zaak T‑557/20
Gemeenschappelijke Afwikkelingsraad (GAR)
tegen
Europese toezichthouder voor gegevensbescherming (EDPS)
Arrest van het Gerecht (Achtste kamer – uitgebreid) van 26 april 2023
„Bescherming van persoonsgegevens – Procedure voor het toekennen van compensatie aan aandeelhouders en crediteuren na de afwikkeling van een bank – Besluit van de EDPS waarbij wordt vastgesteld dat de GAR zijn verplichtingen met betrekking tot de verwerking van persoonsgegevens heeft geschonden – Artikel 15, lid 1, onder d), van verordening (EU) 2018/1725 – Begrip ‚persoonsgegevens’ – Artikel 3, punt 1, van verordening 2018/1725 – Recht van toegang tot het dossier”
1. Beroep tot nietigverklaring – Handelingen waartegen beroep kan worden ingesteld – Begrip – Handelingen die bindende rechtsgevolgen sorteren – Handelingen die de rechtspositie van de verzoeker wijzigen – Herzien besluit van de Europese toezichthouder voor gegevensbescherming (EDPS) waarbij wordt vastgesteld dat de Gemeenschappelijke Afwikkelingsraad (GAR) zijn verplichtingen met betrekking tot de verwerking van persoonsgegevens heeft geschonden – Daaronder begrepen
[Art. 263 VWEU; verordening 2018/1725 van het Europees Parlement en de Raad, art. 15, lid 1, d)]
(zie punten 44‑46, 50‑54)
2. Instellingen van de Europese Unie – Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens – Verordening 2018/1725 – Begrip „persoonsgegevens” – Iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon – Door de Gemeenschappelijke Afwikkelingsraad (GAR) opgestarte procedure betreffende het recht om te worden gehoord na de vaststelling van afwikkelingsmaatregelen voor een bank – Opmerkingen die bij de GAR zijn ingediend door de aandeelhouders en crediteuren die door deze maatregelen zijn getroffen – Door de GAR ter evaluatie aan een onafhankelijke derde overgemaakte opmerkingen – Besluit van de Europese toezichthouder voor gegevensbescherming (EDPS) waarbij wordt vastgesteld dat de GAR zijn verplichtingen met betrekking tot de verwerking van persoonsgegevens van die aandeelhouders en crediteuren heeft geschonden – Geen onderzoek door de EDPS van de inhoud, het doel en de gevolgen van die opmerkingen – Geen vaststelling door de EDPS van de mogelijkheid voor de onafhankelijke derde om over wettelijke en in de praktijk uitvoerbare middelen te beschikken om toegang te krijgen tot de aanvullende gegevens die nodig zijn voor de heridentificatie van de auteurs van de doorgezonden opmerkingen – Nietigverklaring van het besluit van de EDPS
(Verordeningen van het Europees Parlement en de Raad nr. 806/2014, art. 20, lid 16, en 2018/1725, art. 3, punt 1)
(zie punten 64‑75, 94‑98, 100‑106)
Samenvatting
In juni 2017 heeft de Gemeenschappelijke Afwikkelingsraad (GAR) voor Banco Popular Español SA, een bank, een afwikkelingsregeling vastgesteld op de grondslag van verordening nr. 806/2014(1). Om te beoordelen of aandeelhouders en crediteuren die door de afwikkelingsmaatregel zijn getroffen beter zouden zijn behandeld als er een normale insolventieprocedure ten aanzien van deze instelling was geopend, schrijft deze verordening de tussenkomst van een onafhankelijke derde voor om het verschil in behandeling te kunnen waarderen(2). Deloitte is door de GAR belast met deze waardering.
Na deze waardering heeft de GAR een voorlopig besluit vastgesteld over de noodzaak om al dan niet compensatie toe te kennen aan de getroffen aandeelhouders en crediteuren en heeft hij een procedure opgestart betreffende het recht om te worden gehoord, om hem in staat te stellen een definitief besluit vast te stellen(3). Tijdens deze procedure, die uit twee fasen bestaat, is de getroffen aandeelhouders en crediteuren in eerste instantie verzocht om via een online inschrijvingsformulier kenbaar te maken of zij gebruik willen maken van hun recht te worden gehoord door middel van een online-inschrijvingsformulier en om bewijsstukken over te leggen ter staving van hun rechten (inschrijvingsfase). In tweede instantie konden de getroffen aandeelhouders en crediteuren van wie de GAR de status had geverifieerd, schriftelijk hun opmerkingen indienen over het voorlopige besluit (raadplegingsfase). Op de aanvangsdatum van de inschrijvingsfase heeft de GAR op de internetpagina om in te schrijven voor deelname aan de procedure inzake het recht om te worden gehoord een privacyverklaring gepubliceerd over de verwerking van persoonsgegevens in het kader van deze procedure.
De gegevens die tijdens de inschrijvingsfase werden verzameld, waren voor een beperkt aantal met de verwerking van die gegevens belaste personeelsleden van de GAR toegankelijk om te bepalen of de deelnemers voor deelname in aanmerking kwamen. Deze gegevens waren niet zichtbaar voor de personeelsleden van de GAR die belast waren met de behandeling van de opmerkingen die waren ontvangen in de raadplegingsfase. In die fase hebben laatstbedoelde personeelsleden enkel opmerkingen ontvangen die werden geïdentificeerd aan de hand van een alfanumerieke code die aan elke via het formulier ingediende opmerking was toegekend.
Na samenvoeging, automatische filtering en categorisering van de opmerkingen heeft de GAR Deloitte de opmerkingen over de uitgevoerde waardering ter beoordeling toegezonden. Enkel de tijdens de raadplegingsfase ontvangen opmerkingen, waar een alfanumerieke code aan was toegekend, werden aan Deloitte doorgegeven. Door deze code was de GAR de enige die de opmerkingen kon koppelen aan de tijdens de inschrijvingsfase ontvangen gegevens. Deloitte had en heeft nog steeds geen toegang tot de databank met gegevens die tijdens de inschrijvingsfase werden verzameld.
In deze context hebben getroffen aandeelhouders en crediteuren (hierna: „klagers”) op grond van verordening 2018/1725(4) vijf klachten ingediend bij de Europese Toezichthouder voor gegevensbescherming (EDPS), aangezien in de door de GAR gepubliceerde privacyverklaring over de verwerking van persoonsgegevens niet werd vermeld dat de via het formulier verzamelde gegevens zouden worden doorgegeven aan derden. Zij stelden dat de GAR zijn informatieverplichtingen met betrekking tot de verwerking van persoonsgegevens krachtens die verordening(5) niet was nagekomen.
De EDPS heeft een oorspronkelijk besluit vastgesteld dat, na een verzoek om herziening van de GAR, is ingetrokken en vervangen door een herzien besluit waarin de EDPS zich op het standpunt heeft gesteld dat de GAR een bepaling van die verordening had geschonden doordat hij de klagers in de privacyverklaring niet had geïnformeerd over de mogelijkheid dat hun persoonsgegevens aan Deloitte zouden worden meegedeeld. Daarop heeft de GAR bij het Gerecht een beroep ingesteld dat met name strekte tot nietigverklaring van dat herziene besluit van de EDPS.
Het Gerecht, dat uitspraak doet in uitgebreide kamer, wijst dit beroep van de GAR toe, verklaart het herziene besluit van de EDPS nietig en verduidelijkt het begrip persoonsgegevens in het licht van de arresten Nowak(6) en Breyer(7) van het Hof.
Beoordeling door het Gerecht
In zijn arrest verduidelijkt het Gerecht het begrip persoonsgegevens in de zin van artikel 3, punt 1, van verordening 2018/1725, dat wordt gedefinieerd als „iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Om een persoonsgegeven te zijn is dan ook vereist dat informatie aan twee cumulatieve voorwaarden voldoet, ten eerste, het moet gaan om informatie „betreffende” een natuurlijke persoon en, ten tweede, deze persoon moet „geïdentificeerd of identificeerbaar” zijn.
In de eerste plaats onderzoekt het Gerecht of de EDPS terecht kon oordelen dat de informatie die aan Deloitte was doorgezonden, informatie „betreffende” een natuurlijke persoon in de zin van die bepaling was.
Om te beginnen stelt het Gerecht vast dat de EDPS in het herziene besluit alle opmerkingen die in het kader van de raadplegingsfase door de getroffen aandeelhouders en crediteuren waren geformuleerd, als persoonsgegevens heeft aangemerkt en zijn beoordeling niet heeft beperkt tot de aan Deloitte doorgezonden informatie. Aangezien de in het herziene besluit vastgestelde inbreuk door de GAR op zijn verplichtingen met betrekking tot de verwerking van persoonsgegevens krachtens verordening 2018/1725 enkel betrekking had op het feit dat de GAR in de privacyverklaring niet had vermeld dat Deloitte de potentiële ontvanger van bepaalde gegevens was, is het Gerecht evenwel van oordeel dat enkel dient te worden onderzocht of de aan Deloitte doorgezonden gegevens persoonsgegevens in de zin van artikel 3, punt 1, van verordening 2018/1725 waren.
In dit verband herinnert het Gerecht aan de doelstelling van de wetgever om een ruime betekenis te geven aan het begrip persoonsgegeven, dat niet beperkt is tot gevoelige of persoonlijke informatie, maar zich potentieel uitstrekt tot elke soort informatie, zowel objectieve informatie als subjectieve informatie, zoals meningen of beoordelingen, op voorwaarde dat deze informatie de betrokkene betreft.
Het Gerecht stelt in dit verband eveneens vast dat het Hof in zijn reeds aangehaalde arrest Nowak reeds heeft geoordeeld dat aan deze voorwaarde is voldaan wanneer de informatie, wegens haar inhoud, doel of gevolg, verband hield met een bepaalde persoon. In het herziene besluit heeft de EDPS de inhoud, het doel en het effect van de aan Deloitte doorgezonden informatie echter niet onderzocht. Hij heeft namelijk slechts aangegeven dat de opmerkingen die de klagers tijdens de raadplegingsfase maakten hun meningen of standpunten weerspiegelden, en uitsluitend op grond daarvan geconcludeerd dat het daarbij ging om hen betreffende informatie, hetgeen volstond om die opmerkingen als persoonsgegevens aan te merken. Het valt inderdaad niet uit te sluiten dat persoonlijke standpunten of meningen persoonsgegevens vormen. Uit het arrest Nowak(8) blijkt echter dat een dergelijke conclusie niet kan worden gebaseerd op een vermoeden zoals datgene dat door de EDPS werd toegepast, maar moet worden gebaseerd op onderzoek dat ertoe strekt te bepalen of een standpunt, gelet op de inhoud, het doel of het gevolg ervan, gelieerd is aan een bepaalde persoon. Hieruit volgt dat de EDPS, bij gebreke van een dergelijk onderzoek, niet tot de slotsom kon komen dat de informatie die aan Deloitte was doorgezonden, informatie „betreffende” een natuurlijke persoon in de zin van artikel 3, punt 1, van verordening 2018/1725 was.
In de tweede plaats onderzoekt het Gerecht de beoordeling van de EDPS die de vraag betreft of de aan Deloitte doorgezonden informatie betrekking had op een „geïdentificeerde of identificeerbare” natuurlijke persoon.
Het Gerecht merkt in dit verband op, ten eerste, dat niet wordt betwist dat de alfanumerieke code op de aan Deloitte doorgezonden gegevens op zichzelf niet volstond om de auteurs van de opmerkingen te identificeren en, ten tweede, dat Deloitte geen toegang had tot de tijdens de inschrijvingsfase ontvangen identificatiegegevens die het mogelijk zouden hebben gemaakt om via deze code de deelnemers aan hun opmerkingen te koppelen. De EDPS heeft aangegeven dat de aanvullende gegevens die nodig zijn om de auteurs van de opmerkingen te identificeren, bestaan uit de alfanumerieke code en de databank met identificatiegegevens. Gelet op het hiervoor genoemde arrest Breyer(9), sluit het feit dat de aanvullende gegevens die nodig waren om de auteurs van de tijdens de raadplegingsfase ontvangen opmerkingen te identificeren niet bij Deloitte maar bij de GAR berustten inderdaad niet a priori uit dat de gegevens die aan Deloitte waren doorgezonden voor Deloitte persoonsgegevens vormden. Uit hetzelfde arrest blijkt echter ook dat, om te bepalen of de gegevens die waren doorgezonden aan Deloitte persoonsgegevens vormden, het noodzakelijk is om zich in de positie van Deloitte te verplaatsen teneinde te bepalen of de aan haar doorgezonden informatie betrekking heeft op „identificeerbare personen”.
Overeenkomstig het hiervoor genoemde arrest Breyer(10), stond het dus aan de EDPS om te onderzoeken of de aan Deloitte doorgezonden opmerkingen voor haar persoonsgegevens vormden. De EDPS stelt volgens het Gerecht dan ook ten onrechte dat niet hoefde te worden onderzocht of de auteurs van de aan Deloitte doorgezonden informatie door haar opnieuw konden worden geïdentificeerd dan wel of deze heridentificatie redelijkerwijs mogelijk was. Het Gerecht stelt vast dat de EDPS zich in het herziene besluit op het standpunt heeft gesteld dat het feit dat de GAR beschikte over de aanvullende gegevens aan de hand waarvan de auteurs van de opmerkingen opnieuw konden worden geïdentificeerd, volstond om tot de slotsom te komen dat de gegevens die aan Deloitte waren doorgezonden persoonsgegevens waren, terwijl hij heeft erkend dat de tijdens de inschrijvingsfase ontvangen identificatiegegevens niet aan Deloitte waren meegedeeld. Uit het herziene besluit blijkt dus dat de EDPS de mogelijkheid om de auteurs van de opmerkingen opnieuw te identificeren enkel heeft onderzocht vanuit het oogpunt van de GAR en niet vanuit het oogpunt van Deloitte. Uit het voornoemde arrest Breyer(11) blijkt echter dat de EDPS moest bepalen of de mogelijkheid om de aan Deloitte doorgezonden informatie te combineren met de aanvullende gegevens waarvan de GAR in het bezit was, een middel vormde waarvan mag worden aangenomen dat het door Deloitte redelijkerwijs kon worden ingezet om de auteurs van de opmerkingen te identificeren.
Aangezien de EDPS niet heeft onderzocht of Deloitte over wettelijke en in de praktijk uitvoerbare middelen beschikte om toegang te krijgen tot de aanvullende gegevens die nodig waren voor de heridentificatie van de auteurs van de opmerkingen, kon de EDPS dus niet tot de slotsom komen dat de informatie die aan Deloitte was doorgezonden, informatie vormde die betrekking had op een „identificeerbare natuurlijke persoon” in de zin van artikel 3, punt 1, van verordening 2018/1725. Bijgevolg verklaart het Gerecht het herziene besluit van de EDPS nietig.