(Zadeva T‑557/20)
Enotni odbor za reševanje (EOR)
proti
Evropskemu nadzorniku za varstvo podatkov (ENVP)
Sodba Splošnega sodišča (osmi razširjeni senat) z dne 26. aprila 2023
„Varstvo osebnih podatkov – Postopek za odobritev nadomestila delničarjem in upnikom po reševanju kreditne institucije – Sklep ENVP, s katerim je bilo ugotovljeno, da je EOR kršil svoje obveznosti v zvezi z obdelavo osebnih podatkov – Člen 15(1)(d) Uredbe (EU) 2018/1725 – Pojem ,osebni podatki‘ – Člen 3, točka 1, Uredbe (EU) 2018/1725 – Pravica do vpogleda v spis“
1. Ničnostna tožba – Izpodbojni akti – Pojem – Akti, ki ustvarjajo zavezujoče pravne učinke – Akti, ki spreminjajo pravni položaj tožeče stranke – Revidirani sklep Evropskega nadzornika za varstvo podatkov (ENVP), s katerim je bilo ugotovljeno, da je Enotni odbor za reševanje (EOR) kršil svoje obveznosti v zvezi z obdelavo osebnih podatkov – Vključitev
(člen 263 PDEU; Uredba Evropskega parlamenta in Sveta 2018/1725, člen 15(1)(d))
(Glej točke od 44 do 46 in od 50 do 54.)
2. Institucije Evropske unije – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba 2018/1725 – Pojem ,osebni podatki‘ – Vse informacije, ki se nanašajo na določeno ali določljivo fizično osebo – Postopek v zvezi s pravico do izjave, ki ga je začel Enotni odbor za reševanje (EOR) po sprejetju ukrepov za reševanje bančne institucije – Pripombe, ki so jih pri EOR podali delničarji in upniki, na katere so ti ukrepi vplivali – Pripombe, ki jih je EOR posredoval tretji neodvisni osebi v oceno – Sklep Evropskega nadzornika za varstvo podatkov (ENVP), s katerim je bilo ugotovljeno, da je EOR kršil svoje obveznosti v zvezi z obdelavo podatkov teh delničarjev in upnikov – Nepreučitev ENVP vsebine, namena in učinkov pripomb – Nedoločitev ENVP možnosti za tretjo neodvisno osebo, da ima na voljo zakonita in v praksi izvedljiva sredstva, ki bi ji omogočala dostop do dodatnih informacij, potrebnih za ponovno identifikacijo avtorjev posredovanih pripomb – Razglasitev ničnosti sklepa ENVP
(uredbi Evropskega parlamenta in Sveta št. 806/2014, člen 20(16), in št. 2018/1725, člen 3, točka 1)
(Glej točke od 64 do 75, od 94 do 98 in od 100 do 106.)
Povzetek
Enotni odbor za reševanje (EOR) je junija 2017 sprejel shemo za reševanje družbe Banco Popular Español SA, bančne institucije, na podlagi Uredbe št. 806/2014.(1) Za ugotovitev, ali bi bili delničarji in upniki, na katere vpliva ukrep za reševanje, deležni boljše obravnave, če bi bil za to institucijo uveden običajen insolvenčni postopek, se na podlagi te uredbe zahteva posredovanje neodvisne tretje osebe, da se opravi vrednotenje razlik pri obravnavi.(2) EOR je za to vrednotenje pooblastil družbo Deloitte.
Ko je bilo to vrednotenje opravljeno, je EOR sprejel predhodni sklep o tem, ali naj se zadevnim delničarjem in upnikom dodeliti nadomestilo, ter začel postopek v zvezi s pravico do izjave, da bi lahko sprejel končni sklep.(3) V tem postopku, ki je bil razdeljen na dve fazi, so bili delničarji in upniki, na katere so ti ukrepi vplivali, najprej pozvani, naj izrazijo interes za uveljavljanje pravice do izjave s spletnim prijavnim obrazcem in predložijo dokazila v podporo svojim pravicam (faza vpisa). V drugi fazi so lahko prizadeti delničarji in upniki, katerih status je preveril EOR, predložili svoje pisne pripombe glede predhodnega sklepa EOR in vrednotenje (faza posvetovanja). Ko se je začela faza vpisa, je EOR na spletni strani za vpis v postopek v zvezi s pravico do izjave, objavil izjavo o varstvu osebnih podatkov v zvezi z obdelavo osebnih podatkov v okviru tega postopka.
Podatki, zbrani v fazi vpisa, so bili dostopni omejenemu številu uslužbencev EOR, odgovornih za obdelavo teh podatkov, zato da bi lahko ugotovili upravičenost udeležencev. Ti podatki niso bili vidni uslužbencem EOR, zadolženim za obravnavo pripomb, prejetih v fazi posvetovanja, med katero so prejeli le pripombe, opredeljene s sklicevanjem na alfanumerično kodo, dodeljeno vsaki pripombi, predloženi na obrazcu.
Po združevanju, samodejnem filtriranju in kategorizaciji pripomb, je EOR družbi Deloitte v oceno posredoval komentarje v zvezi z opravljenim vrednotenjem. Pripombe, prenesene družbi Deloitte, so se nanašale le na pripombe, prejete v fazi posvetovanja, in so imele alfanumerično kodo. Prek te kode je bil EOR edini, ki je lahko pripombe povezal s podatki, prejetimi v fazi vpisa. Družba Deloitte ni imela, in še vedno nima, dostopa do zbirke podatkov, zbranih v fazi vpisa.
V tem okviru so prizadeti delničarji in upniki (v nadaljevanju: pritožniki), glede na to, da izjava o varstvu osebnih podatkov, ki jo je izdal EOR, ni vsebovala navedbe o posredovanju podatkov, zbranih na obrazcu, tretjim osebam, na podlagi Uredbe 2018/1725,(4) Evropskemu nadzorniku za varstvo podatkov (ENVP) posredovali pet pritožb. Zatrjevali so, da je EOR kršil svoje obveznosti obveščanja v zvezi z obdelavo osebnih podatkov na podlagi te uredbe.(5)
ENVP je sprejel prvotni sklep, ki je bil po tem, ko je EOR vložil zahtevo za pregled, razveljavljen in nadomeščen z revidiranim sklepom, v katerem je ENVP menil, da je EOR kršil določbo te uredbe, ker pritožnikov v izjavi o varstvu osebnih podatkov ni obvestil o možnosti, da se njihovi osebni podatki posredujejo družbi Deloitte. EOR je nato pri Splošnem sodišču vložil tožbo, s katero je med drugim predlagal razglasitev ničnosti tega revidiranega sklepa ENVP.
Splošno sodišče, ki je odločalo v razširjenem senatu, je tej tožbi EOR ugodilo in revidirani sklep ENVP razglasilo za ničen, pri čemer je pojasnilo pojem osebnih podatkov glede na sodbi Nowak(6) in Breyer(7), ki ju je izdalo Sodišče.
Presoja Splošnega sodišča
Splošno sodišče je v sodbi pojasnilo pojem osebnih podatkov v smislu člena 3, točka 1, Uredbe 2018/1725, ki je opredeljen kot „katera koli informacija v zvezi z določenim ali določljivim posameznikom“. Za to, da je informacija osebni podatek, morata biti izpolnjena dva kumulativna pogoja: po eni strani, da je informacija „v zvezi s“ fizično osebo in, po drugi strani, da je ta fizična oseba „določena ali določljiva“.
Prvič, Splošno sodišče je preučilo, ali je ENVP lahko upravičeno menil, da so bili podatki, posredovani družbi Deloitte, „v zvezi s“ posameznikom v smislu te določbe.
Splošno sodišče je najprej ugotovilo, da je ENVP v revidiranem sklepu kot „osebne podatke“ opredelil vse pripombe, ki so jih izrazili prizadeti delničarji in upniki v okviru faze posvetovanja, in svoje presoje ni omejil zgolj na podatke, ki so bili posredovani družbi Deloitte. Ker pa se je kršitev EOR obveznosti, ki jih ima v zvezi z obdelavo osebnih podatkov na podlagi Uredbe 2018/1725, in je bila ugotovljena v revidiranem sklepu, nanašala le na to, da EOR v izjavi o varstvu osebnih podatkov ni navedel, da bo družba Deloitte potencialni uporabnik nekaterih podatkov, je Splošno sodišče menilo, da se je treba omejiti na preučitev, ali so bili podatki, posredovani družbi Deloitte, osebni podatki v smislu člena 3, točka 1, Uredbe 2018/1725.
V tem okviru je Splošno sodišče opozorilo na cilj zakonodajalca, da pojmu osebni podatek pripiše širok pomen, ki ni omejen na občutljive informacije ali informacije zasebnega prava, temveč potencialno zajema vse vrste informacij, tako objektivne kot subjektivne, kot so mnenja ali presoje, če se nanašajo na zadevno osebo.
V zvezi s tem je Splošno sodišče ugotovilo tudi, da je Sodišče v zgoraj navedeni sodbi Nowak že imelo priložnost razsoditi, da je ta pogoj izpolnjen, če je bila informacija zaradi svoje vsebine, namena ali učinka povezana z določeno osebo. Vendar ENVP v revidiranem sklepu ni preučil ne vsebine, ne namena, ne učinka informacij, posredovanih družbi Deloitte. Navedel je namreč le, da pripombe, ki so jih pritožniki predložili v fazi posvetovanja, izražajo njihova mnenja ali stališča, in zgolj na tej podlagi sklenil, da pomenijo informacije, ki se nanašajo nanje, kar zadostuje za to, da se opredelijo kot osebni podatki. Res je, da ni mogoče izključiti, da so osebni vidiki ali mnenja osebni podatki. Vendar je iz sodbe Nowak(8) razvidno, da taka ugotovitev ne more temeljiti na domnevi, kot jo je navedel ENVP, ampak se mora opreti na preverjanje, ali je stališče glede na svojo vsebino, namen ali učinek, povezano z določeno osebo. Iz tega sledi, da ENVP, ker take preučitve ni opravil, ni mogel ugotoviti, da so informacije, posredovane družbi Deloitte, informacije, ki so „v zvezi s“ posameznikom v smislu člena 3, točka 1, Uredbe 2018/1725.
Drugič, Splošno sodišče je preučilo presojo ENVP v zvezi z vprašanjem, ali so informacije, poslane družbi Deloitte, v zvezi z „določenim ali določljivim“ posameznikom, v smislu te določbe.
V zvezi s tem je Splošno sodišče navedlo, da ni sporno, na eni strani, da alfanumerična koda, vsebovana v informacijah, posredovanih družbi Deloitte, sama po sebi ni omogočala identifikacije avtorjev pripomb, in, na drugi strani, da družba Deloitte ni imela dostopa do podatkov, ki omogočajo individualno prepoznavanje, pridobljenih v fazi vpisa, na podlagi katerih bi bilo mogoče udeležence zaradi te kode povezati z njihovimi pripombami. ENVP je navedel, da dodatne informacije, potrebne za identifikacijo avtorjev pripomb, zajemajo alfanumerično kodo in zbirko podatkov, ki omogočajo individualno prepoznavanje. Ob upoštevanju zgoraj navedene sodbe Breyer,(9) zaradi dejstva, da dodatnih informacij, potrebnih za identifikacijo avtorjev pripomb, prejetih v fazi posvetovanja, ni imela družba Deloitte, ampak EOR, ni mogoče a priori izključiti, da so informacije, ki so bile posredovane družbi Deloitte, zanjo pomenile osebne podatke. Vendar je iz te sodbe prav tako razvidno, da je treba za ugotovitev, ali gre v primeru informacij, ki so bile posredovane družbi Deloitte, za osebne podatke, izhajati z vidika zadnjenavedene, da se ugotovi, ali se informacije, ki so ji bile posredovane, nanašajo na „določljive osebe“.
Zato bi moral ENVP na podlagi zgoraj navedene sodbe Breyer(10) preučiti, ali so pripombe, posredovane družbi Deloitte – v zvezi s to družbo – osebni podatki. Po mnenju Splošnega sodišča ENVP napačno trdi, da ni bilo treba raziskati, ali je družba Deloitte avtorje informacij, ki so ji bile posredovane, lahko ponovno identificirala oziroma ali je bila ta ponovna identifikacija razumno mogoča. Splošno sodišče je ugotovilo, da je ENVP v revidiranem sklepu menil, da dejstvo, da je imel EOR dodatne informacije, na podlagi katerih je bilo mogoče ponovno identificirati avtorje pripomb, zadostuje za ugotovitev, da so bile informacije, ki so bile posredovane družbi Deloitte, osebni podatki, pri čemer je priznal, da podatki, ki omogočajo individualno prepoznavanje in ki so bili prejeti v fazi vpisa, niso bili posredovani družbi Deloitte. Iz revidiranega sklepa tako izhaja, da se je ENVP omejil na preučitev možnosti ponovne identifikacije avtorjev pripomb s stališča EOR, ne pa s stališča družbe Deloitte. Iz zgoraj navedene sodbe Breyer(11) je razvidno, da bi moral ENVP ugotoviti, ali gre v primeru možnosti povezave informacij, ki so bile posredovane družbi Deloitte, z dodatnimi informacijami, ki jih ima na voljo EOR, za sredstvo, ki ga družba Deloitte lahko razumno uporabi za identifikacijo avtorjev pripomb.
Ker ENVP ni preveril, ali ima družba Deloitte v praksi na voljo zakonita in izvedljiva sredstva, ki bi ji omogočala dostop do dodatnih informacij, potrebnih za ponovno identifikacijo avtorjev pripomb, ENVP torej ni mogel ugotoviti, da gre v primeru informacij, ki so bile posredovane družbi Deloitte, za informacije, ki se nanašajo na „določljivega posameznika“ v smislu člena 3, točka 1, Uredbe 2018/1725. Zato je Splošno sodišče revidirani sklep ENVP razglasilo za ničen.