Sprawa T‑557/20
Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB)
przeciwko
Europejskiemu Inspektorowi Ochrony Danych (EIOD)
Wyrok Sądu (ósma izba w składzie powiększonym) z dnia 26 kwietnia 2023 r.
Ochrona danych osobowych – Postępowanie w przedmiocie wypłaty rekompensat akcjonariuszom i wierzycielom w następstwie restrukturyzacji i uporządkowanej likwidacji instytucji bankowej – Decyzja EIOD stwierdzająca naruszenie przez SRB jej obowiązków związanych z przetwarzaniem danych osobowych – Artykuł 15 ust. 1 lit. d) rozporządzenia (UE) 2018/1725 – Pojęcie „danych osobowych” – Artykuł 3 pkt 1 rozporządzenia 2018/1725 – Prawo dostępu do akt
1. Skarga o stwierdzenie nieważności – Akty podlegające zaskarżeniu – Pojęcie – Akty wywołujące wiążące skutki prawne – Akty zmieniające sytuację prawną skarżącego – Zmieniona decyzja Europejskiego Inspektora Ochrony Danych (EIOD) stwierdzająca naruszenie przez Jednolitą Radę ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) ciążących na niej obowiązków w zakresie przetwarzania danych osobowych – Objęcie zakresem stosowania
[art. 263 TFUE; rozporządzenie Parlamentu Europejskiego i Rady 2018/1725, art. 15 ust. 1 lit. d)]
(zob. pkt 44–46, 50–54)
2. Instytucje Unii Europejskiej – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2018/1725 – Pojęcie danych osobowych – Informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej – Procedura dotycząca prawa do bycia wysłuchanym wszczęta przez Jednolitą Radę ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) w następstwie podjęcia działań w ramach restrukturyzacji i uporządkowanej likwidacji instytucji bankowej – Uwagi przekazane SRB przez zaangażowanych akcjonariuszy i wierzycieli, których dotyczą te środki – Uwagi przekazane przez SRB niezależnej osobie trzeciej w celu oceny – Decyzja Europejskiego Inspektora Ochrony Danych (EIOD) stwierdzająca naruszenie przez SRB jej obowiązków związanych z przetwarzaniem danych tych akcjonariuszy i wierzycieli – Brak zbadania przez EIOD treści, celu i skutków uwag – Brak określenia przez EIOD możliwości dysponowania przez niezależną osobę trzecią wykonalnymi w praktyce środkami prawnymi umożliwiającymi dostęp do dodatkowych informacji niezbędnych do ponownej identyfikacji autorów przekazanych uwag – Stwierdzenie nieważności decyzji EIOD
(rozporządzenia Parlamentu Europejskiego i Rady nr 806/2014, art. 20 ust. 16; 2018/1725, art. 3 pkt 1)
(zob. pkt 64–75, 94–98, 100–106)
Streszczenie
W czerwcu 2017 r. Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) przyjęła, na podstawie rozporządzenia nr 806/2014(1), program restrukturyzacji i uporządkowanej likwidacji w odniesieniu do instytucji bankowej Banco Popular Español SA. W celu ustalenia, czy zaangażowani akcjonariusze i wierzyciele objęci zastosowaniem środka w postaci restrukturyzacji i uporządkowanej likwidacji, skorzystaliby z lepszego traktowania, gdyby instytucja ta była przedmiotem standardowego postępowania upadłościowego, rozporządzenie to wymaga interwencji niezależnej osoby trzeciej w celu przeprowadzenia wyceny różnicy w traktowaniu(2). SRB zleciła kancelarii Deloitte sporządzenie tej wyceny.
Po przeprowadzeniu tej wyceny SRB przyjęła wstępną decyzję w sprawie konieczności przyznania rekompensaty zaangażowanym akcjonariuszom i wierzycielom oraz wszczęcia procedury dotyczącej prawa do bycia wysłuchanym, aby umożliwić sobie podjęcie ostatecznej decyzji(3). W toku tej procedury, przebiegającej w dwóch fazach, zaangażowani akcjonariusze i wierzyciele zostali wezwani do wyrażenia interesu w skorzystaniu z prawa do bycia wysłuchanymi za pomocą internetowego formularza rejestracyjnego i do dostarczenia dowodów na poparcie ich praw (etap rejestracji). W drugiej fazie zaangażowani akcjonariusze i wierzyciele, których status został sprawdzony przez SRB, mogli przedstawić swoje uwagi na temat decyzji wstępnej SRB i wycenę („faza konsultacji”). W dniu rozpoczęcia fazy rejestracji SRB opublikowała również na stronie internetowej, na której należało dokonać rejestracji do udziału w procedurze dotyczącej prawa do bycia wysłuchanym, oświadczenie o ochronie prywatności dotyczące przetwarzania danych osobowych w ramach tej procedury.
Dane zebrane w fazie rejestracji były dostępne ograniczonej liczbie pracowników SRB odpowiedzialnych za przetwarzanie tych danych w celu ustalenia, czy uczestnicy kwalifikowali się do udziału w procedurze. Dane te nie były widoczne dla pracowników SRB odpowiedzialnych za przetwarzanie uwag otrzymanych w fazie konsultacji, w trakcie której otrzymali oni jedynie uwagi możliwe do zidentyfikowania za pomocą kodu alfanumerycznego przypisanego do każdej uwagi przedłożonej za pośrednictwem formularza.
Po zsumowaniu, automatycznym przefiltrowaniu i skategoryzowaniu uwag SRB przekazała Deloitte, w celu przeprowadzenia oceny, uwagi dotyczące dokonanej wyceny. Przekazano Deloitte wyłącznie uwagi otrzymane w fazie konsultacji i opatrzone kodem alfanumerycznym. Za pomocą tego kodu SRB jako jedyna mogła powiązać uwagi z danymi otrzymanymi w fazie rejestracji. Deloitte nie miał i nadal nie ma dostępu do bazy danych zgromadzonych w fazie rejestracji.
W tym kontekście, biorąc pod uwagę, że opublikowane przez SRB oświadczenie o ochronie prywatności dotyczące przetwarzania danych osobowych nie zawierało informacji o przekazaniu osobom trzecim danych zgromadzonych za pomocą formularza, zaangażowani akcjonariusze i wierzyciele (zwani dalej „skarżącymi”) przekazali na podstawie rozporządzenia 2018/1725(4) pięć skarg do Europejskiego Inspektora Ochrony Danych (EIOD). Twierdzili oni, że SRB naruszyła obowiązki informacyjne dotyczące przetwarzania danych osobowych ciążące na niej na mocy tego rozporządzenia(5).
EIOD wydał pierwotną decyzję, która w następstwie złożonego przez SRB wniosku o dokonanie przeglądu decyzji została uchylona i zastąpiona zmienioną decyzją, w której EIOD uznał, że SRB naruszyła przepis tego rozporządzenia, ponieważ nie poinformowała skarżących w oświadczeniu o ochronie prywatności o możliwości przekazania Deloitte ich danych osobowych. SRB wniosła wówczas do Sądu skargę mającą na celu w szczególności stwierdzenie nieważności tej zmienionej decyzji EIOD.
Orzekając w składzie powiększonym, Sąd uwzględnił skargę SRB i stwierdził nieważność zmienionej decyzji EIOD, wyjaśniając pojęcie danych osobowych w świetle wydanych przez Trybunał wyroków Nowak(6) i Breyer(7).
Ocena Sądu
W wyroku Sąd przedstawił wyjaśnienia dotyczące pojęcia danych osobowych w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725, zdefiniowanego jako „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Aby informacja stanowiła dane osobowe, wymagane jest kumulatywne spełnienie dwóch przesłanek: po pierwsze, informacja jest „o” osobie fizycznej, a po drugie, osoba ta jest „zidentyfikowana lub możliwa do zidentyfikowania”.
W pierwszej kolejności Sąd zbadał, czy EIOD mógł słusznie uznać, że informacje przekazane Deloitte są informacjami „o” osobie fizycznej w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725.
Na wstępie Sąd stwierdził, że w zmienionej decyzji EIOD zakwalifikował jako dane osobowe wszystkie uwagi przedstawione przez zaangażowanych akcjonariuszy i wierzycieli w fazie konsultacji i nie ograniczył swojej oceny wyłącznie do informacji przekazanych Deloitte. Tymczasem w zakresie, w jakim stwierdzone w zmienionej decyzji naruszenie przez SRB jej obowiązków w przedmiocie przetwarzania danych osobowych na podstawie rozporządzenia 2018/1725 dotyczyło wyłącznie braku w oświadczeniu o ochronie prywatności wzmianki, że Deloitte będzie potencjalnym odbiorcą niektórych danych, Sąd uznał, iż należało ograniczyć się do zbadania, czy informacje przekazane Deloitte były danymi osobowymi w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725.
W tym kontekście Sąd przypomniał zamiar prawodawcy przypisania pojęciu danych osobowych szerokiego zakresu, bez ograniczania go do informacji szczególnie chronionych czy też prywatnych, lecz poprzez rozszerzenie go potencjalnie o informacje wszelkiego rodzaju, zarówno obiektywne, jak i subiektywne, w postaci opinii czy oceny, pod warunkiem, że informacje te będą „o” danej osobie.
W tym względzie Sąd stwierdził również, że w wyżej wymienionym wyroku Nowak Trybunał miał już okazję orzec, że warunek ten zostaje spełniony, gdy ze względu na jej treść, cel lub skutek informacja była związana z określoną osobą. W zmienionej decyzji EIOD nie zbadał jednak ani treści, ani celu, ani skutków informacji przekazanych Deloitte. Ograniczył się on bowiem do wskazania, że uwagi przedstawione przez skarżących w fazie konsultacji odzwierciedlały ich opinie lub stanowiska i stwierdził na tej tylko podstawie, że stanowią one dotyczące ich informacje, co wystarcza do uznania ich za dane osobowe. Oczywiście nie można wykluczyć, że osobiste punkty widzenia lub opinie stanowiły dane osobowe. Jednakże z wyroku Nowak(8) wynika, że taki wniosek nie może opierać się na domniemaniu takim jak zastosowane przez EIOD, lecz musi opierać się na badaniu mającym na celu ustalenie, czy ze względu na swoją treść, cel lub skutek punkt widzenia jest związany z określoną osobą. Wynika z tego, że w przypadku braku przeprowadzenia takiego badania EIOD nie mógł stwierdzić, że informacje przekazane Deloitte stanowią informacje „o” osobie fizycznej w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725.
W drugiej kolejności Sąd zbadał ocenę EIOD dotyczącą tego, czy informacje przekazane Deloitte odnosiły się do „zidentyfikowanej lub możliwej do zidentyfikowania” osoby fizycznej w rozumieniu tego przepisu.
W tym względzie Sąd wskazał, że bezsporne jest, po pierwsze, że kod alfanumeryczny znajdujący się na informacjach przekazanych Deloitte nie pozwala sam w sobie na zidentyfikowanie autorów uwag, a po drugie, że Deloitte nie miał dostępu do danych identyfikacyjnych otrzymanych na etapie rejestracji, pozwalających na powiązanie uczestników z ich uwagami za pomocą kodu alfanumerycznego. EIOD wskazał, że dodatkowymi informacjami niezbędnymi do identyfikacji autorów uwag był kod alfanumeryczny i baza danych identyfikacyjnych. Prawdą jest, w świetle wyżej wymienionego wyroku Breyer(9), że okoliczność, iż dodatkowe informacje niezbędne do zidentyfikowania autorów uwag otrzymanych w fazie konsultacji nie znajdowały się w posiadaniu Deloitte, lecz SRB, nie wydawała się móc a priori wykluczyć, że informacje przekazane Deloitte stanowiły dla niego dane osobowe. Jednakże z tego samego wyroku wynika również, że w celu ustalenia, czy informacje przekazane Deloitte stanowią dane osobowe, należy przyjąć punkt widzenia Deloitte w celu ustalenia, czy informacje, które zostały mu przekazane, odnoszą się do „osób możliwych do zidentyfikowania”.
W związku z tym na podstawie wyżej wymienionego wyroku Breyer(10) do EIOD należało zbadanie, czy przekazane Deloitte uwagi stanowiły dla niego dane osobowe. Tym samym, w opinii Sądu EIOD niesłusznie twierdził, że nie było potrzeby badania, czy autorzy informacji przekazanych Deloitte mogli zostać ponownie zidentyfikowani przez Deloitte lub czy ta ponowna identyfikacja była w sposób uzasadniony prawdopodobna. Sąd uznał, że w zmienionej decyzji EIOD stwierdził, iż okoliczność, że SRB posiadała dodatkowe informacje umożliwiające ponowną identyfikację autorów uwag, była wystarczająca, aby stwierdzić, że informacje przekazane Deloitte były danymi osobowymi, przyznając jednocześnie, że dane identyfikacyjne otrzymane w fazie rejestracji nie zostały Deloitte przekazane. Ze zmienionej decyzji wynika zatem, że EIOD ograniczył się do zbadania możliwości ponownego zidentyfikowania autorów uwag z punktu widzenia SRB, a nie Deloitte. Tymczasem z wyżej wymienionego wyroku Breyer(11) wynika, że do EIOD należało ustalenie, czy możliwość połączenia informacji, które zostały przekazane Deloitte, z dodatkowymi informacjami będącymi w posiadaniu SRB stanowiła środek, który Deloitte w sposób uzasadniony mógł prawdopodobnie wykorzystać w celu zidentyfikowania autorów uwag.
W związku z tym, ponieważ EIOD nie zbadał, czy Deloitte dysponował wykonalnymi w praktyce środkami prawnymi, umożliwiającymi mu dostęp do dodatkowych informacji niezbędnych do ponownej identyfikacji autorów uwag, EIOD nie miał podstaw, by wnioskować, że informacje przekazane Deloitte stanowią informacje odnoszące się do „możliwej do zidentyfikowania osoby fizycznej” w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725. W konsekwencji Sąd stwierdził nieważność zmienionej decyzji EIOD.