Language of document : ECLI:EU:C:2025:59

Väliaikainen versio

JULKISASIAMIEHEN RATKAISUEHDOTUS

DEAN SPIELMANN

6 päivänä helmikuuta 2025 (1)

Asia C413/23 P

Euroopan tietosuojavaltuutettu

vastaan

yhteinen kriisinratkaisuneuvosto

Muutoksenhaku – Henkilötietojen käsittely – Menettely korvauksen maksamiseksi velkojille ja osakkeenomistajille pankin kriisinratkaisun jälkeen – Tietojen toimittamista koskeva velvollisuus – Asetuksen (EU) 2018/1725 15 artiklan 1 kohdan d alakohta – Kyseisille velkojille ja osakkeenomistajille ei toimitettu tietoa henkilötietojen vastaanottajasta – Euroopan tietosuojavaltuutetun päätös, jossa todetaan pseudonymisoitujen henkilötietojen käsittelyä koskevan asetuksen 2018/1725 rikkominen






I       Johdanto

1.        Euroopan tietosuojavaltuutettu (EDPS) vaatii valituksessaan, että unionin tuomioistuin kumoaa unionin yleisen tuomioistuimen 26.4.2023 antaman tuomion SRB v. EDPS (T‑557/20, EU:T:2023:219; jäljempänä valituksenalainen tuomio), jolla unionin yleinen tuomioistuin kumosi EDPS:n 24.11.2020 tekemän tarkistetun päätöksen (jäljempänä riidanalainen päätös), joka koski osakkeenomistajien ja velkojien, joihin Banco Popular Español SA:n (jäljempänä Banco Popular) kriisinratkaisu vaikutti, tekemiä viittä kantelua siitä, ettei heille ollut ilmoitettu henkilötietojensa siirrosta.

2.        Käsiteltävässä asiassa unionin tuomioistuimella on tilaisuus täsmentää pseudonymisoitujen tietojen yhteydessä henkilötietojen käsitettä ja niistä johtuvia velvollisuuksia, jotta noudatetaan tietojen asianmukaista ja läpinäkyvää käsittelyä koskevia velvoitteita.

II     Asiaa koskevat oikeussäännöt

3.        Tämän valituksen yhteydessä merkitykselliset asetuksen (EU) 2018/1725(2) keskeiset säännökset ovat seuraavat.

4.        Kyseisen asetuksen johdanto-osan 16 ja 17 perustelukappaleessa todetaan seuraavaa:

”(16)      Tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä. Pseudonymisoidut henkilötiedot, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, olisi katsottava tiedoiksi, jotka koskevat tunnistettavissa olevaa luonnollista henkilöä. Jotta voidaan määrittää, onko luonnollinen henkilö tunnistettavissa, olisi otettava huomioon kaikki keinot, joita joko rekisterinpitäjä tai muu henkilö kohtuullisen todennäköisesti käyttää mainitun luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, kuten kyseisen henkilön erottaminen muista. Jotta voidaan varmistaa, voidaanko keinoja kohtuullisen todennäköisesti käyttää luonnollisen henkilön tunnistamiseen, olisi otettava huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys. Tietosuojaperiaatteita ei tämän vuoksi pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoihin, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. Tämä asetus ei tämän vuoksi koske tällaisten anonyymien, muun muassa tilasto- tai tutkimustarkoituksia varten käytettävien tietojen käsittelyä.

(17) Pseudonymisoinnin soveltaminen henkilötietoihin voi vähentää asianomaisiin rekisteröityihin kohdistuvia riskejä sekä auttaa rekisterinpitäjiä ja henkilötietojen käsittelijöitä noudattamaan tietosuojavelvoitteitaan. ’Pseudonymisoinnin’ nimenomaisella sisällyttämisellä tähän asetukseen ei ole tarkoitus sulkea pois mitään muita tietosuojatoimenpiteitä.”

5.        Kyseisen asetuksen 3 artiklan, jonka otsikko on ”Määritelmät”, 1 ja 6 alakohdassa säädetään seuraavaa:

”Tässä asetuksessa tarkoitetaan:

1)      ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella;

– –

6)      ’pseudonymisoinnilla’ henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu.”

6.        Kyseisen asetuksen 4 artiklan, jonka otsikko on ”Henkilötietojen käsittelyä koskevat periaatteet”, 1 kohdan a alakohdassa ja 2 kohdassa säädetään seuraavaa:

”1.      Henkilötietojen suhteen on noudatettava seuraavia vaatimuksia:

a)      niitä on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi (’lainmukaisuus, kohtuullisuus ja läpinäkyvyys’);

– –

2.      Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (’osoitusvelvollisuus’).”

7.        Asetuksen 2018/1725 15 artiklan, jonka otsikko on ”Toimitettavat tiedot, kun henkilötietoja kerätään rekisteröidyltä”, 1 kohdan d alakohdassa säädetään seuraavaa:

”Kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle kaikki seuraavat tiedot:

– –

d)      mahdolliset henkilötietojen vastaanottajat tai vastaanottajaryhmät.”

III  Asian tausta

8.        Yhteinen kriisinratkaisuneuvosto (SRB) antoi 7.6.2017 yhdenmukaisten sääntöjen ja yhdenmukaisen menettelyn vahvistamisesta luottolaitosten ja tiettyjen sijoituspalveluyritysten kriisinratkaisua varten yhteisen kriisinratkaisumekanismin ja yhteisen kriisinratkaisurahaston puitteissa sekä asetuksen (EU) N:o 1093/2010 muuttamisesta 15.7.2014 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 806/2014(3) perusteella Banco Popularia koskevan kriisinratkaisumääräyksen, joka hyväksyttiin samana päivänä Euroopan komission päätöksellä,(4) mikä tarkoittaa käytännössä sitä, että kyseisen pankin pääomainstrumentit alaskirjattiin, muunnettiin ja myytiin siirtämällä osakkeet.

9.        Asetuksen N:o 806/2014 20 artiklan 16–18 kohdan mukaisesti SRB antoi Deloitten, joka on ”riippumaton henkilö”,(5) tehtäväksi laatia erilaista kohtelua koskevan arvostuksen sen määrittämiseksi, olisiko osakkeenomistajia ja velkojia, joihin kriisinratkaisutoimi vaikuttaa, kohdeltu paremmin, jos pankki olisi asetettu tavanomaiseen maksukyvyttömyysmenettelyyn.

10.      Deloitte toimitti 14.6.2018 SRB:lle tämän erilaista kohtelua koskevan arvostuksen (jäljempänä kolmas arvostus). Voidakseen tehdä lopullisen päätöksen siitä, oliko osakkeenomistajille ja velkojille, joihin Banco Popularia koskevat kriisinratkaisutoimet olivat vaikuttaneet, tarpeen myöntää asetuksen N:o 806/2014 76 artiklan 1 kohdan e alakohdan mukainen korvaus, SRB aloitti alustavalla päätöksellä oikeuteen tulla kuulluksi liittyvän menettelyn, johon sisältyi ensimmäinen ilmoittautumisvaihe sen varmistamiseksi, täyttävätkö kiinnostuksensa ilmaisseet osapuolet kelpoisuusvaatimukset, ja toinen kuulemisvaihe, jossa kyseeseen tulevat osakkeenomistajat ja velkojat esittivät huomautuksensa SRB:n alustavasta päätöksestä, jonka liitteenä kolmas arvostus oli.

11.      Ilmoittautumisvaiheen aikana kerätyt tiedot eli osallistujien henkilötodistukset sekä alaskirjattujen tai muunnettujen ja siirrettyjen Banco Popularin pääomainstrumenttien omistusoikeudesta toimitetut todistukset olivat saatavilla ainoastaan rajalliselle määrälle SRB:n henkilöstön jäseniä, joille annettiin tehtäväksi käsitellä nämä tiedot sen määrittämiseksi, täyttivätkö osallistujat kelpoisuusvaatimukset. Nämä tiedot eivät näkyneet niille SRB:n henkilöstön jäsenille, jotka vastasivat huomautusten käsittelystä kuulemisvaiheen aikana, vaan nämä ainoastaan vastaanottivat huomautukset, jotka sitten yksilöitiin kullekin lomakkeella toimitetulle huomautukselle annetulla aakkosnumeerisella koodilla.(6)

12.      Huomautusten aggregoinnin, automaattisen suodatuksen ja ryhmittelyn jälkeen SRB toimitti suodatetut, ryhmitellyt ja aggregoidut kolmatta arvostusta koskevat huomautukset Deloittelle.(7) Deloittelle siirretyt huomautukset olivat yksinomaan kuulemisvaiheessa vastaanotettuja huomautuksia, ja kullekin niistä oli annettu tarkastuskäyttöön kehitetty aakkosnumeerinen koodi, jonka avulla voitiin tarkistaa ja mahdollisesti todistaa jälkikäteen, että kaikki huomautukset oli käsitelty ja otettu asianmukaisesti huomioon. SRB oli ainoa, joka olisi voinut tämän koodin avulla yhdistää huomautukset ilmoittautumisvaiheessa vastaanotettuihin tietoihin. Deloittella ei ollut eikä edelleenkään ole pääsyä ilmoittautumisvaiheessa kerättyjen tietojen tietokantaan.

13.      Kyseeseen tulevat osakkeenomistajat (jäljempänä kantelijat) tekivät EDPS:lle asetuksen 2018/1725 nojalla viisi kantelua, koska SRB:n henkilötietojen käsittelystä julkaisemassa tietosuojaselosteessa ei ollut mitään mainintaa lomakkeen avulla kerättyjen tietojen siirtämisestä Deloittelle. Kantelijat väittivät, ettei SRB noudattanut kyseisestä asetuksesta johtuvaa henkilötietojen käsittelyyn liittyvää tietojen toimittamista koskevaa velvollisuuttaan, josta säädetään tämän asetuksen 15 artiklan 1 kohdan d alakohdassa.

14.      EDPS teki 24.6.2020 alkuperäisen päätöksen, joka SRB:n tekemän uudelleentarkastelupyynnön johdosta kumottiin ja korvattiin 24.11.2020 tehdyllä riidanalaisella päätöksellä, jossa todettiin seuraavaa:

”1. EDPS katsoo, että SRB:n Deloittelle luovuttamat tiedot olivat pseudonymisoituja tietoja siksi, että [kuulemisvaiheessa] toimitetut huomautukset olivat henkilötietoja, ja siksi, että SRB jakoi aakkosnumeerisen koodin, jonka avulla [ilmoittautumisvaiheen] aikana saadut vastaukset voitiin yhdistää [kuulemisvaiheen] aikana saatuihin vastauksiin, vaikka tietoja, jotka osallistujat toimittivat [ilmoittautumisvaiheen] aikana yksilöidäkseen itsensä, ei luovutettukaan Deloittelle.

2. EDPS katsoo, että Deloitte oli asetuksen 2018/1725 3 artiklan 13 alakohdassa tarkoitettu kantelijoiden henkilötietojen vastaanottaja. Se, että Deloittea ei mainittu SRB:n tietosuojaselosteessa niiden henkilötietojen mahdollisena vastaanottajana, jotka SRB:n rekisterinpitäjänä keräsi ja joita se käsitteli oikeuteen tulla kuulluksi liittyneessä menettelyssä, merkitsee [asetuksen 2018/1725] 15 artiklan 1 kohdan d alakohdassa tarkoitetun tietojen toimittamista koskevan velvollisuuden laiminlyöntiä.

3. Ottaen huomioon tekniset ja organisatoriset toimenpiteet, joita SRB toteutti vähentääkseen riskejä siitä, että luonnollisten henkilöiden oikeutta henkilötietojen suojaan loukataan oikeuteen tulla kuulluksi liittyvässä menettelyssä, EDPS päättää olla käyttämättä [asetuksen 2018/1725] 58 artiklan 2 kohdan mukaisia korjaavia toimivaltuuksiaan.

4. EDPS kuitenkin suosittaa SRB:tä varmistamaan, että sen tulevissa oikeuteen tulla kuulluksi liittyvissä menettelyissä laadittavat tietosuojaselosteet kattavat sekä ilmoittautumis- että kuulemisvaiheessa suoritettavan henkilötietojen käsittelyn ja että näissä selosteissa mainitaan kerättyjen tietojen kaikki mahdolliset vastaanottajat, jotta SRB noudattaisi täysimääräisesti [asetuksen 2018/1725] 15 artiklan mukaista velvollisuuttaan toimittaa tietoja rekisteröidyille. ”

IV     Valituksenalainen tuomio

15.      SRB nosti unionin yleisen tuomioistuimen kirjaamoon 1.9.2020 toimittamallaan kannekirjelmällä ja 29.1.2021 toimittamallaan kanteen tarkistamista koskevalla kirjelmällä kanteen, jossa se vaati unionin tuomioistuinta yhtäältä kumoamaan riidanalaisen päätöksen ja toisaalta toteamaan 24.6.2020 tehdyn EDPS:n alkuperäisen päätöksen lainvastaiseksi.

16.      SRB esitti ensimmäisen vaatimuksensa(8) tueksi kaksi kanneperustetta. Ensimmäinen kanneperuste koski asetuksen 2018/1725 3 artiklan 1 alakohdan rikkomista siltä osin kuin Deloittelle siirretyt tiedot eivät olleet henkilötietoja ja toinen Euroopan unionin perusoikeuskirjan 41 artiklassa vahvistetun hyvää hallintoa koskevan oikeuden loukkaamista.

17.      Unionin yleinen tuomioistuin totesi valituksenalaisessa tuomiossa, että tämän vaatimuksen tutkittavaksi ottamisen edellytykset täyttyvät. Asiakysymyksen osalta se hyväksyi ensimmäisen kanneperusteen ja kumosi riidanalaisen päätöksen tutkimatta toista kanneperustetta.

18.      Ensimmäisestä kanneperusteesta unionin yleinen totesi ensinnäkin, että EDPS katsoi oletuksen perusteella, että Deloittelle siirretyt tiedot ”liittyivät” luonnolliseen henkilöön asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoitetulla tavalla, eikä tutkinut Deloittelle siirrettyjen tietojen sisältöä, tarkoitusta eikä vaikutusta,(9) mikä on ristiriidassa tuomion Nowak(10) kanssa.

19.      Toiseksi unionin yleinen tuomioistuin totesi asetuksen 2018/1725 3 artiklan 1 alakohdassa säädetystä edellytyksestä, jonka mukaan tietojen on liityttävä ”tunnistettuun tai tunnistettavissa olevaan” luonnolliseen henkilöön, että käsiteltävässä asiassa EDPS:n olisi pitänyt tutkia, olivatko Deloittelle siirretyt huomautukset sen kannalta henkilötietoja. Valituksenalaisen tuomion mukaan EDPS tarkasteli huomautusten laatijoiden uudelleen tunnistamisen mahdollisuutta ainoastaan SRB:n eikä Deloitten kannalta. Koska EDPS ei tutkinut, oliko Deloittella käytettävissään lailliset ja käytännössä toteutettavissa olevat keinot saada huomautusten laatijoiden uudelleen tunnistamiseksi tarvittavat lisätiedot, EDPS ei voinut todeta, että Deloittelle siirretyt tiedot olivat asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoitettuun tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja.(11)

V       Asian käsittelyn vaiheet unionin tuomioistuimessa sekä asianosaisten ja väliintulijoiden vaatimukset

20.      EDPS valitti valituksenalaisesta tuomiosta unionin tuomioistuimen kirjaamoon 5.7.2023 toimittamallaan kirjelmällä. Unionin tuomioistuimen presidentin 29.11.2023 antamalla määräyksellä(12) Euroopan tietosuojaneuvosto hyväksyttiin väliintulijaksi tukemaan EDPS:n vaatimuksia, ja 20.10.2023 tehdyllä päätöksellä Euroopan komissio hyväksyttiin väliintulijaksi tukemaan SRB:n vaatimuksia.

21.      EDPS vaatii, että unionin tuomioistuin

–        kumoaa valituksenalaisen tuomion

–        ratkaisee asian lopullisesti

–        velvoittaa SRB:n korvaamaan muutoksenhakumenettelystä aiheutuvat ja unionin yleisessä tuomioistuimessa käydystä menettelystä aiheutuneet oikeudenkäyntikulut.

22.      Euroopan tietosuojaneuvosto, joka tukee EDPS:n vaatimuksia, vaatii, että unionin tuomioistuin

–        kumoaa valituksenalaisen tuomion

–        ratkaisee asian lopullisesti pysyttämällä riidanalaisen päätöksen.

23.      SRB vaatii, että unionin tuomioistuin

–        hylkää valituksen

–        toissijaisesti kumoaa riidanalaisen päätöksen

–        vieläkin toissijaisemmin palauttaa asian unionin yleiseen tuomioistuimeen

–        velvoittaa EDPS:n korvaamaan muutoksenhakumenettelystä aiheutuvat ja unionin yleisessä tuomioistuimessa käydystä menettelystä aiheutuneet oikeudenkäyntikulut.

24.      Euroopan komissio, joka tukee SRB:n vaatimuksia, vaatii, että unionin tuomioistuin

–        hylkää valituksen

–        velvoittaa EDPS:n korvaamaan oikeudenkäyntikulut.

VI     Valitus

25.      EDPS, jota Euroopan tietosuojaneuvosto tukee, esittää valituksensa tueksi kaksi valitusperustetta. Ensimmäisellä valitusperusteella pyritään riitauttamaan asetuksen 2018/1725 3 artiklan 1 ja 6 alakohdassa, sellaisina kuin niitä on tulkittu unionin tuomioistuimen oikeuskäytännössä, tarkoitettua henkilötietojen käsitettä koskeva unionin yleisen tuomioistuimen tulkinta. Toinen valitusperuste koskee saman asetuksen 4 artiklan 2 kohdassa ja 26 artiklan 1 kohdassa tarkoitetun osoitusvelvollisuutta koskevan periaatteen loukkaamista.

A       Ensimmäinen valitusperuste

26.      Ensimmäinen valitusperuste jakautuu kahteen osaan. Ensimmäinen osa koskee edellytystä, jonka mukaan riidanalaisten tietojen on ”liityttävä” luonnolliseen henkilöön, ja toinen koskee sitä, että kyseessä on oltava ”tunnistettu tai tunnistettavissa oleva” henkilö.

1.     Ensimmäinen osa, joka koskee sitä, ”liittyvätkö” tiedot luonnolliseen henkilöön

a)     Asianosaisten lausumat

27.      EDPS, jota Euroopan tietosuojaneuvosto tukee, väittää, että unionin yleinen tuomioistuin teki virheen, kun se katsoi EDPS:n tukeutuneen olettamaan tukittaessa edellytystä, jonka mukaan Deloittelle siirrettyjen tietojen on liityttävä asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoitettuun luonnolliseen henkilöön. EDPS:n mukaan käsiteltävän tätä ei tarvinnut asian olosuhteissa tutkia perusteellisemmin.

28.      SRB puolestaan väittää, että kuten unionin yleinen tuomioistuin katsoi, EDPS totesi ainoastaan, että kantelijoiden oikeuteen tulla kuulluksi liittyvän menettelyn kuulemisvaiheessa esittämät riidanalaiset huomautukset heijastivat heidän mielipiteitään tai näkemyksiään, vaikka sen olisi pitänyt tutkia, liittyivätkö Deloittelle siirretyt tiedot tiettyyn henkilöön sisältönsä, tarkoituksensa tai vaikutuksensa vuoksi, kuten tuomiossa Nowak edellytetään.

b)     Asian arviointi

29.      On muistutettava, että unionin tuomioistuin on toistuvasti katsonut, että ilmaisun ”kaikki tiedot” käyttäminen henkilötietojen määritelmässä heijastaa unionin lainsäätäjän pyrkimystä antaa laaja merkitys tälle käsitteelle, joka voi kattaa kaikenlaiset tiedot,(13) sekä objektiiviset että subjektiiviset tiedot, jotka ilmaistaan mielipiteen tai arvion muodossa, kuitenkin edellyttäen, että ne ”koskevat” kyseessä olevaa henkilöä.

30.      Tässä yhteydessä on todettava, että tieto liittyy tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, kun se ”liittyy” tiettyyn henkilöön sisältönsä, tarkoituksensa tai vaikutuksensa vuoksi.(14)

31.      Tarkasteltaessa käsiteltävässä asiassa kyseessä olevien kantelijoiden huomautusten kaltaisia mielipiteitä tai arvioita on nähdäkseni tärkeää tehdä ero sen mukaan, tutkitaanko sitä, ”liittyvätkö” kyseiset mielipiteet tai arviot yhteen tai useampaan mielipide- tai arviotekstissä tarkoitettuun henkilöön, vai onko tarkoitus määrittää, liittyvätkö ne niiden laatijaan, kuten käsiteltävässä asiassa. Jotta tiedon voidaan ensimmäisessä tapauksessa katsoa liittyvän arvion kohteena olevaan henkilöön, on analysoitava, koskevatko arvion sisältö, tarkoitus tai vaikutus kyseistä henkilöä. Jotta jälkimmäisessä tapauksessa voidaan määrittää, liittyykö arvio sen laatineeseen henkilöön, voidaan nähdäkseni sen sijaan olettaa, että tilanne on tämä ja että mielipide tai arvio liittyy väistämättä sen laatijaan.

32.      Tuomiossa Nowak oli kyse lähinnä koepaperiin sisältyvien tietojen arvioinnista. Arvio koski siten kahta henkilöä: kokeeseen osallistujaa ja tarkastajaa. Pitää paikkansa, että unionin tuomioistuin tutki kokeeseen osallistujan vastausten sisällön, tarkoituksen ja vaikutuksen voidakseen päätellä, että ne koskivat häntä. Erityisesti tarkastajan merkinnöistä, jotka ilmentävät hänen mielipidettään tai arviotaan,(15) on todettava, että vaikka unionin tuomioistuin tutki koepaperiin sisältyneiden tietojen sisällön, tarkoituksen ja vaikutuksen ja päätteli näiden arvioiden liittyvän kokeeseen osallistujaan, se ei kuitenkaan suorittanut tällaista tutkintaa katsoakseen, että nämä tiedot olivat ne laatinutta tarkastajaa koskevia tietoja.(16) Nähdäkseni ei voida sulkea siten kokonaan pois sitä, että (pelkkää) olettamaa voidaan soveltaa arvioitaessa, ”liittyykö” mielipide tai arvio tai, kuten käsiteltävässä asiassa, huomautus sen laatijaan.

33.      Päättelen tästä, että jollei toisin osoiteta, käsiteltävässä asiassa kyseessä olevat huomautukset ”koskevat” väistämättä kantelijoita heidän huomautustensa tarkoituksesta tai vaikutuksesta riippumatta, koska ne ovat kantelijoiden laatimia, osoittavat heidän ”logiikkansa ja päättelynsä” ja ilmentävät siten heidän ”henkilökohtaista mielipidettään”.

34.      Vaikka käsiteltävässä asiassa ei tehtäisi tällaista olettamaa, kyseessä olevat huomautukset ”liittyvät” nähdäkseni joka tapauksessa sisältönsä, tarkoituksensa tai vaikutuksensa vuoksi kantelijoihin.

35.      SRB väittää tässä yhteydessä, että kyseessä olevien huomautusten tarkoitusta tai asiayhteyttä koskevat argumentit ovat tehottomia, koska niitä ei tutkittu riidanalaisessa päätöksessä, että ne eivät täytä tutkittavaksi ottamisen edellytyksiä, koska ne sisältävät uuden tosiseikkoja koskevan väitteen, ja että ovat joka tapauksessa virheellisiä.

36.      Tämä argumentointi ei ole mielestäni vakuuttava. Sekä EDPS:n riidanalaisessa päätöksessä suorittama tutkinta että unionin yleisen tuomioistuimen arviointi kuuluvat nimittäin huomioon otettuun oikeudelliseen asiayhteyteen, jossa mainitaan selvästi oikeuteen tulla kuulluksi liittyvässä menettelyssä esitettyjen kyseessä olevien huomautusten tarkoitus ja vaikutus. Nämä huomautusten tarkoitukseen ja vaikutukseen liittyvät argumentit ovat siten tehokkaita ja täyttävät tutkittavaksi ottamisen edellytykset.

37.      Asiakysymyksen osalta sovellettavista asiaa koskevista oikeussäännöistä ilmenee lisäksi, että oikeuteen tulla kuulluksi liittyvän menettelyn, jossa kyseiset huomautukset esitettiin, tarkoituksena oli antaa kyseeseen tuleville osakkeenomistajille ja velkojille mahdollisuus osallistua menettelyyn, erityisesti SRB:lle tilaisuus saada käyttöönsä kaikki tarvittavat tiedot, jotta se voi tehdä lopullisen päätöksen siitä, onko osakkeenomistajille ja velkojille, joihin Banco Popularia koskevat kriisinratkaisutoimet vaikuttivat, tarpeen maksaa korvaus noudattamalla periaatetta, jonka mukaan velkojat eivät saa jäädä huonompaan asemaan kuin likvidaatiotilanteessa noudatettaessa tavanomaista maksukyvyttömyysmenettelyä.(17) Kun SRB otti nämä huomautukset huomioon, ne saattoivat lisäksi vaikuttaa kantelijoiden etuihin ja oikeuksiin taloudellisen korvauksen osalta.

38.      Päättelen tästä, että kyseiset huomautukset liittyvät käsiteltävässä asiassa rekisteröityihin, myös tarkoituksensa ja vaikutuksensa vuoksi.

39.      Totean lisäksi, että kyseessä olevat Deloittelle siirretyt huomautukset ”suodatettiin, ryhmiteltiin ja aggregoitiin”, joten kuten unionin yleisen tuomioistuimen ratkaisunsa perustaksi ottamista tosiseikoista ilmenee,(18) yksittäisiä huomautuksia ei voitu erottaa muista saman aihealueen huomautuksista, mutta voidaan myöntää, että myös aggregoituina nämä yhteiset huomautukset ilmentävät sisällöltään kolmatta arvostusta koskevia henkilökohtaisia näkemyksiä. Ne ovat nimittäin sellaisten mielipiteiden summa, jotka sellaisenaan ovat ne ilmaisseisiin henkilöihin liittyviä tietoja. Niiden suodatus, ryhmittely ja aggregointi eivät muuta tätä toteamusta, sillä muuten pelkästään useiden näkemysten aggregoinnilla voitaisiin välttää edellytys, jonka mukaan tiedon on ”liityttävä” luonnolliseen henkilöön. Se, ettei eri yksittäisiä mielipiteitä voida erottaa tässä huomautusten joukossa, kuuluu nähdäkseni pikemminkin toiseen kumulatiiviseen edellytykseen, joka koskee tämän valitusperusteen toisen osan yhteydessä tarkasteltavaa rekisteröityjen tunnistettavuutta, kuin edellytykseen, jonka mukaan huomautuksen on ”liityttävä” luonnolliseen henkilöön.

40.      Unionin yleisen tuomioistuimen voidaan nähdäkseni siten katsoa tehneen arvioinnissaan tältä osin oikeudellisen virheen, kun se totesi, ettei EDPS ollut suorittanut tuomiossa Nowak edellytettävää tutkintaa todetessaan, että kyseessä olevat huomautukset ”liittyivät” asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoitettuihin luonnollisiin henkilöihin.

41.      Jos unionin tuomioistuin päättää hylätä tämän ensimmäisen osan ja katsoo, etteivät kyseessä olevat pseudonymisoidut huomautukset liity niiden laatijoihin, valitusperusteen toista osaa ei ole tarpeen tutkia, koska asetuksen 2018/1725 3 artiklan 1 alakohdan mukaan kyseessä on henkilötiedon olemassaolon välttämätön edellytys, joka on kumulatiivinen jäljempänä tarkasteltavan rekisteröityjen tunnistettavuutta koskevan edellytyksen kanssa.

2.     Toinen osa, joka liittyy rekisteröityjen tunnistettavuutta koskevaan edellytykseen

42.      EDPS ja Euroopan tietosuojaneuvosto väittävät lähinnä, että unionin yleinen tuomioistuin teki kaksi virhettä, joista ensimmäinen koskee pseudonymisoinnin käsitettä ja toinen tuomion Breyer(19) tulkintaa, minkä SRB ja komissio kiistävät.

a)     Ensimmäinen väite, joka koskee pseudonymisoinnin vaikutuksiin liittyvää virhettä

43.      Ensimmäinen väite kuvastaa sitä, että on olemassa kaksi hyvin erilaista tietosuojasääntöjen soveltamisalan ulottuvuutta koskevaa lähestymistapaa. Onko pseudonymisoidut tiedot sisällytettävä automaattisesti tietosuojasääntöjen soveltamisalaan pelkästään siksi, että rekisteröidyt ovat edelleen tunnistettavissa lisätunnistetietojen saatavuudesta riippumatta, vai onko katsottava, että pseudonymisoinnin jälkeen tiedot ovat henkilötietoja vain sellaisten henkilöiden kannalta, jotka voivat kohtuudella tunnistaa rekisteröidyt?

1)     Asianosaisten ja väliintulijoiden lausumat

44.      EDPS ja Euroopan tietosuojaneuvosto väittävät lähinnä, että pseudonymisoidut tiedot ovat edelleen henkilötietoja pelkästään siksi, että rekisteröidyt pysyvät tunnistettavissa, koska tiedot, joiden perusteella heidät voidaan tunnistaa, ovat edelleen olemassa. Ne pitävät unionin yleisen tuomioistuimen lähestymistapaa virheellisenä, koska sen perusteella pseudonymisoituja tietoja voidaan pitää vastaanottajaan nähden anonymisoituina tietoina, mikä vaarantaa rekisteröityjen suojan sekä aiheuttaa sekaannusta pseudonymisoinnin ja anonymisoinnin välillä. Tällaista asetuksen 2018/1725 sanamuodon ja tarkoituksen vastaista lähestymistapaa noudatettaessa rekisterinpitäjä voi sulkea henkilötiedot aiheettomasti tällaisten tietojen suojaa koskevan unionin oikeuden soveltamisalan ulkopuolelle.

45.      SRB ja komissio puolestaan väittävät, että pseudonymisoidut tiedot ovat edelleen henkilötietoja ne pseudonymisoineen rekisterinpitäjän kannalta mutta että vastaanottajien kannalta on tutkittava rekisteröityjen tunnistettavuutta. Ne toteavat lisäksi, että vaikka asetuksen 2018/1725 3 artiklan 1 alakohdassa ei täsmennetä, kenen on voitava tunnistaa rekisteröity, kyseisen asetuksen johdanto-osan 16 perustelukappaleen valossa ja 15 artiklan 1 kohdan d alakohdan yhteydessä vastaanottajan kannalta tarkastelulla on ratkaiseva merkitys. SRB ja komissio katsovat, että jos vastaanottaja ei saa henkilötietoja, rekisteröidyillä ei ole intressiä saada ilmoitusta tietojen siirrosta, koska heidän oikeuksiinsa ei kohdistu vaikutuksia.

2)     Asian arviointi

46.      Aluksi on aiheellista muistuttaa, että pseudonymisointi on henkilötietojen käsittelyä, jolla asetuksen 2018/1725 johdanto-osan 17 perustelukappaleen mukaan voidaan ”vähentää” rekisteröidyn henkilöllisyyden paljastavien tietojen yhdistämisen ”riskejä” sekä ”auttaa rekisterinpitäjiä ja henkilötietojen käsittelijöitä noudattamaan tietosuojavelvoitteitaan”.

47.      Asetuksen 2018/1725 3 artiklan 6 alakohdassa esitetyn määritelmän mukaan pseudonymisoinnilla tarkoitetaan ”henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, [jotka] säilytetään erillään ja [joihin] sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu”.(20)

48.      Pseudonymisointi ei siten ole osa henkilötietojen määritelmää, joka esitetään asetuksen 2018/1725 3 artiklan 1 alakohdassa rekisteröidyn tunnistettavuuden käsitteen huomioon ottaen. Kuten komissio totesi väliintulokirjelmässään, kyseisessä asetuksessa määritellään pseudonymisoinnin käsite viittaamalla suojatoimenpiteen tai teknisen ja organisatorisen toimenpiteen toteuttamisprosessiin, mutta ei pseudonymisoitujen tietojen käsitettä.

49.      Tämä tulkinta vahvistuu, kun luetaan yhdessä kyseisen asetuksen 3 artiklan 6 alakohtaa ja johdanto-osan 16 perustelukappaletta, jonka ensimmäisessä virkkeessä muistutetaan, että ”tietosuojaperiaatteita olisi sovellettava kaikkiin tietoihin, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä”.

50.      Asetuksen 2018/1725 johdanto-osan 16 perustelukappaletta on lisäksi syytä analysoida tarkemmin.(21) Sen toisessa virkkeessä nimittäin todetaan, että ”pseudonymisoidut henkilötiedot, jotka voitaisiin yhdistää luonnolliseen henkilöön lisätietoja käyttämällä, olisi katsottava tiedoiksi, jotka koskevat tunnistettavissa olevaa luonnollista henkilöä”. Kolmannessa ja neljännessä virkkeessä täsmennetään tämän tunnistettavuutta koskevan vaatimuksen sisältöä.

51.      Päättelen näiden säännösten sanamuodosta, että pseudonymisoinnissa jätetään avoimeksi se, ovatko rekisteröidyt tunnistettavissa, sillä muuten johdanto-osan 16 perustelukappaleen sanamuoto olisi merkityksetön. Totean lisäksi, että anonymisointia koskevat johdanto-osan 16 perustelukappaleen viimeiset virkkeet vahvistavat tämän tulkinnan: niissä jätetään anonymisoidut tiedot (eli tiedot, joiden tunnistettavuus on poistettu) asetuksen 2018/1725 soveltamisalan ulkopuolelle,(22) mutta pseudonymisoidut tiedot jätetään sen ulkopuolelle vain siltä osin kuin rekisteröidyt eivät ole tunnistettavissa. Jos kyseiset henkilöt eivät ole tunnistettavissa, on katsottava juridisesti, että pseudonymisointiprosessi suojaa heitä riittävästi, vaikka lisätunnistetietoja ei olisi poistettu kokonaan.

52.      Toisin sanoen pseudonymisoituja tietoja ei suljeta automaattisesti kyseisen asetuksen soveltamisalan ulkopuolelle.(23) Ottaen huomioon tämän johdanto-osan 16 perustelukappaleen ei voida kuitenkaan sulkea pois sitä, että tällaiset tiedot voivat tietyin edellytyksin jäädä henkilötietojen käsitteen ulkopuolelle.

53.      Toisin kuin EDPS väittää, tällainen lähestymistapa ei mielestäni ole ristiriidassa henkilötietojen suojan korkean tason varmistamista koskevan tavoitteen kanssa etenkin, kun otetaan huomioon yhtäältä sovellettavissa säännöksissä asetetut tunnistettavuutta koskevat vaatimukset ja toisaalta se, miten niitä on tulkittu oikeuskäytännössä.

54.      Ensinnäkin asetuksen 2018/1725 johdanto-osan 16 perustelukappaleessa viitataan siihen, voiko joko rekisterinpitäjä ”tai muu henkilö” tunnistaa henkilön: tämä laaja, joskaan ei rajoittamaton käsite(24) kuuluu suojelevaan henkilötietoja koskevaan lähestymistapaan.

55.      Kyseisessä johdanto-osan 16 perustelukappaleessa todetaan lisäksi, että on otettava huomioon keinot, joita kohtuullisen todennäköisesti käytetään luonnollisen henkilön tunnistamiseen suoraan tai välillisesti, ottaen huomioon kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut ja tunnistamiseen tarvittava aika sekä käsittelyajankohtana käytettävissä oleva teknologia ja tekninen kehitys, mikä muodostaa henkilötietojen laajan ja suojelevan määritelmän.

56.      Toiseksi myös oikeuskäytännössä omaksuttu tunnistettavuuden käsitteen tulkinta, jossa keskitytään rekisteröityjen uudelleen tunnistamisen riskiin, mahdollistaa henkilötietojen käsitteen laajan soveltamisen. Unionin tuomioistuin on järjestelmällisesti pitänyt henkilötietoja tietoina, jotka voivat kyseessä olevassa asiayhteydessä aiheuttaa rekisteröityjen uudelleen tunnistamisen riskin, vaikka ne erotettaisiin jonkun toisen hallussa olevista tunnistetiedoista.(25)

57.      Tietoa voidaan siis juridisesti pitää muuna kuin henkilötietona vain, jos tunnistamisriskiä ei ole tai se on merkityksetön.(26)

58.      EDPS:n ja Euroopan tietosuojaneuvoston argumentit, jotka koskevat liian suppeasta henkilötietojen tulkinnasta johtuvia vaaroja, eivät ole mielestäni vakuuttavia. Se, ettei asetuksesta 2018/1725 johtuvia sääntöjä sovelleta tunnistamattomia henkilöitä koskeviin tietoihin, ei nimittäin ole esteenä sille, että moitittaviin toimitapoihin syyllistyneille yhteisöille voi aiheutua oikeudellinen vastuu esimerkiksi luovutettaessa tietoja, mistä aiheutuu vahinkoa. Sen sijaan yhteisölle, joka ei pystyisi kohtuullisesti tunnistamaan rekisteröityjä, on mielestäni kohtuutonta asettaa asetuksesta 2018/1725 johtuvia velvoitteita,(27) joita kyseinen yhteisö ei lähtökohtaisesti pystyisi noudattamaan tai joiden vuoksi sen olisi nimenomaan pyrittävä tunnistamaan rekisteröidyt.

59.      Edellä esitetyn perusteella katson, että – toisin kuin EDPS väittää – analysoitaessa asiaa Deloittelle siirrettyjen tietojen kannalta on määritettävä, oliko kyseessä olevien tietojen pseudonymisointi riittävän vankka toimenpide, jotta voidaan katsoa, etteivät Deloittelle siirretyt tiedot laatineet kantelijat olleet kohtuullisin keinoin tunnistettavissa. Toisin sanoen, jos Deloittella oli käytettävissään kohtuulliset keinot kyseisten kantelijoiden tunnistamiseen, sen voidaan tässä asiayhteydessä katsoa käsittelevän henkilötietoja.

60.      EDPS:n esittämä ensimmäinen väite on siten nähdäkseni hylättävä.

b)     Toinen väite, joka koskee virheellistä vertaamista tuomioon Breyer

1)     Asianosaisten lausumat

61.      EDPS, jota Euroopan tietosuojaneuvosto tukee, väittää, että kyseessä olevat pseudonymisoidut tiedot ovat SRB:n kannalta henkilötietoja, joten SRB:llä oli vastaanottajan osalta tietojen toimittamista koskeva velvollisuus rekisteröityjä kohtaan. EDPS väittää lähinnä, että unionin yleinen tuomioistuin tulkitsi virheellisesti tuomiota Breyer, joka koski erilaista tosiasiallista tilannetta.

62.      SRB, jota komissio tukee, sen sijaan väittää, että vertaaminen tuomioon Breyer on merkityksellistä ja että tämän vertailun perusteella on katsottava, että tietojen toimittamista koskevaa velvollisuutta sovelletaan vain, jos siirretyt tiedot ovat henkilötietoja vastaanottajan, tässä tapauksessa Deloitten, kannalta, mitä – kuten unionin yleinen tuomioistuin perustellusti katsoi – ei ole osoitettu käsiteltävässä asiassa.

2)     Asian arviointi

63.      Katson, että asetuksen 2018/1725 15 artiklan 1 kohdan d alakohdassa säädetty tietojen toimittamista koskeva velvollisuus ja rinnastettavuus tuomioon Breyer johtavat käsiteltävässä asiassa unionin tuomioistuimen ratkaisusta poikkeavaan ratkaisuun, jota ehdotan käsiteltävänä olevan väitteen analysoinnissa.

64.      Asetuksen 2018/1725 4 artiklan 1 kohdan a alakohdassa edellytetään, että henkilötietoja käsitellään lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi.

65.      Erityisesti kyseisen asetuksen 15 artiklan 1 kohdan d alakohdassa säädetään, että kerättäessä rekisteröidyltä häntä koskevia henkilötietoja rekisterinpitäjän on ”silloin, kun henkilötietoja saadaan”, toimitettava rekisteröidylle tieto kyseisten tietojen mahdollisista vastaanottajista. On siis selvää, että rekisterinpitäjän on annettava tämä tieto välittömästi tietoja kerättäessä.(28)

66.      Tällaisen tiedonantovelvollisuuden noudattamisen merkitys vahvistetaan myös tietosuoja-asetuksen johdanto-osan 60 perustelukappaleessa, jossa todetaan, että asianmukaisen ja läpinäkyvän käsittelyn periaatteiden mukaisesti rekisteröidylle on ilmoitettava henkilötietojen käsittelystä ja sen tarkoituksista, ja siinä korostetaan, että rekisterinpitäjän olisi toimitettava rekisteröidylle lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn varmistamiseksi, ottaen huomioon henkilötietojen käsittelyn erityiset olosuhteet ja asiayhteys.(29)

67.      Tällainen tietojen toimittamista koskeva velvollisuus on erityisen tärkeä, koska rekisteröidyn antaman suostumuksen pätevyys riippuu muun muassa siitä, onko kyseinen henkilö saanut ennalta tiedot, joihin hänellä oli asetuksen 2018/1725 14 ja 15 artiklan nojalla oikeus ottaen huomioon kaikki kyseessä olevien tietojen käsittelyyn liittyvät olosuhteet ja joiden perusteella hän voi antaa suostumuksensa asiasta täysin tietoisena.(30)

68.      Totean lisäksi, että asetuksen 2018/1725 15 artiklan 4 kohdassa säädetty ainoa poikkeus tästä tietojen toimittamista koskevasta velvollisuudesta koskee tilannetta, jossa rekisteröity on jo saanut kyseessä olevat tiedot.

69.      Päättelen tästä, että käsiteltävässä asiassa tämä tietojen toimittamista koskeva velvollisuus liittyy rekisteröityjen eli tässä tapauksessa kantelijoiden ja rekisterinpitäjänä toimivan SRB:n väliseen oikeudelliseen suhteeseen eikä SRB:n ja vastaanottajan eli Deloitten väliseen suhteeseen. Tietojen toimittamista koskeva velvollisuus koskee siis ennen Deloittelle siirtämistä SRB:n hallussa olleita tietoja. On kiistatonta, että kyse on henkilötiedoista, sillä SRB:llä on hallussaan huomautukset ja edellytykset tunnistaa ne laatineet henkilöt.

70.      Tällaista merkityksellistä näkökulmaa koskevaa lähestymistapaa noudattamalla(31) päädyn unionin tuomioistuimen ratkaisusta poikkeavaan ratkaisuun myös tuomioon Breyer verrattaessa.

71.      Muistutan, että asiassa, jonka yhteydessä kyseisessä tuomiossa tarkasteltu ennakkoratkaisukysymys on esitetty, Breyer vaati, että rekisterinpitäjää (Saksan liittotasavalta) kielletään tallentamasta hänen dynaamista IP-osoitettaan. Breyerin tunnistamiseen hänen tietokoneensa IP-osoitteen avulla tarvittavat lisätiedot eivät olleet rekisterinpitäjän vaan internetyhteyden tarjoajan hallussa. Näin ollen oli selvitettävä, voitiinko rekisterinpitäjän hallussa olevaa dynaamista IP-osoitetta pitää henkilötietona, joka aiheuttaa siten Breyerin ja kyseisen rekisterinpitäjän välisessä oikeudellisessa suhteessa rekisterinpitäjälle säilyttämistä koskevia velvoitteita, vaikka Breyerin tunnistetiedot olivat muun henkilön kuin rekisterinpitäjän hallussa. Tässä yhteydessä katsottiin lähinnä, että vaikka rekisterinpitäjällä ei ollut hallussaan lisätunnistetietoja, se saattoi kohtuullisin keinoin saada ne käyttöönsä, minkä vuoksi IP-osoitetta pidettiin henkilötietona.

72.      Kuten edellä muistutettiin,(32) käsiteltävässä asiassa tietojen toimittamista koskeva velvollisuus kuuluu rekisteröityjen (kantelijat) ja rekisterinpitäjän (SRB) väliseen suhteeseen: tietojen toimittamista koskeva velvollisuus syntyy SRB:n kerätessä tiedot ja erityisesti vastaanottajaa koskevan tiedon osalta viimeistään silloin, kun vastaanottaja on tiedossa. Tällöin kyseessä olevat tiedot ovat henkilötietoja, jotka ovat SRB:n hallussa ja joiden osalta SRB:llä on hallussaan lisätunnistetiedot. Kun otetaan huomioon kyseessä oleva tietojen toimittamista koskeva velvollisuus ja sen aiheutumisen ajankohta, kyseiset tiedot olivat siten henkilötietoja riippumatta siitä, pystyikö Deloitte, jota eivät koske kantelijoiden ja SRB:n välinen oikeudellinen suhde, joka on ainoa merkityksellinen, eikä SRB:llä oleva tietojen toimittamista koskeva velvollisuus, tunnistamaan ne.

73.      Tästä syystä rinnastettavuus tuomioon Breyer on mielestäni suhteellista käsiteltävässä asiassa.

74.      Näin ollen SRB:llä oli tietojen toimittamista koskeva velvollisuus rekisterinpitäjänä ja kun otetaan huomioon sen suhde kantelijoihin, joilta se keräisi kyseessä olevat tiedot, riippumatta siitä, olivatko Deloittelle siirretyt tiedot henkilötietoja vai eivät.

75.      Tämän logiikan perusteella on hylättävä istunnossa toistettu SRB:n argumentti, jonka mukaan tilannetta on tarkasteltava vastaanottajan kannalta, koska on tärkeää varmistaa, onko se ”henkilötietojen vastaanottaja” vai ei.

76.      Tältä osin pitää paikkansa, että asetuksen 2018/1725 15 artiklan 1 kohdan d alakohdan sanamuoto, jossa mainitaan ”henkilötietojen vastaanottajat”, voi aiheuttaa sekaannusta. Jotta kyseinen säännös säilyttää tehokkaan vaikutuksensa, tieto on toimitettava rekisteröidyille mahdollisimman pian ja ennen kyseistä tietojen siirtoa.(33) Vaikka SRB ei aikonut alkuperäisen tiedonkeruun yhteydessä pyytää Deloittelta lausuntoa siitä, muuttivatko nämä huomautukset kolmatta arvostusta, käsiteltävässä asiassa unionin yleisessä tuomioistuimessa riitautetusta päätöksestä ilmenee, että Deloitte avusti SRB:tä oikeuteen tulla kuulluksi liittyvässä menettelyssä.(34) Lisäksi SRB:llä voidaan katsoa olleen aikomus luovuttaa pseudonymisoidut tiedot Deloittelle viimeistään silloin, kun kyseessä olevia huomautuksia päätettiin käsitellä nimenomaan niiden pseudonymisointia varten,(35) sillä muuten pseudonymisoinnilla ei olisi mitään perustaa.

77.      Katson näin ollen, että kun valvotaan, onko tietojen toimittamista koskevaa velvollisuutta noudatettu hetkellä, jona SRB siirsi tiedot Deloittelle, määrittämällä vastaanottajan kannalta, ovatko kyseessä olevat tiedot henkilötietoja vai eivät, tämä valvonta siirtyy ajallisesti. Valvonta lykkääntyy näin ollen virheellisesti, koska valvonnan kohteena ovat vastaanottajalle jo siirretyt tiedot, vaikka tietojen toimittamista koskevan velvollisuuden kohde koskee SRB:n ja kantelijoiden välistä suhdetta ja sen tarkoituksena on mahdollistaa kantelijoiden tietoinen suostumus ennen siirtoa.

78.      Kantelijoiden antamasta suostumuksesta voidaan lisäksi todeta, että heidän osallistumisensa oikeuteen tulla kuulluksi liittyvään menettelyyn voidaan tulkita implisiittiseksi suostumukseksi henkilötietojen jakamiseen rekisterinpitäjän kanssa, jotta heidän huomautuksensa otetaan huomioon. Pelkästään tämän perusteella tätä ei kuitenkaan nähdäkseni voida pitää tietoisena suostumuksena tietojen pseudonymisointiin ja niiden siirtämiseen Deloittelle, jos SRB ei ole ilmoittanut asiasta etukäteen.(36)

79.      Näin ollen SRB:llä oli käsiteltävässä asiassa nähdäkseni tietojen toimittamista koskeva velvollisuus ennen kyseessä olevien tietojen siirtämistä riippumatta siitä, olivatko ne Deloitten hallussa olevina tietoina henkilötietoja vai eivät.

80.      Se, onko pseudonymisointi riittävän vankkaa ja tehokasta, jotta Deloitten hallussa olevia tietoja voidaan tai ei voida pitää henkilötietoina, ei siten mielestäni ole lopulta tehokas peruste tarkasteltaessa SRB:llä olevaa tietojen toimittamista koskevaa velvollisuutta.

81.      Käsiteltävässä asiassa oli siten noudatettava SRB:llä rekisterinpitäjänä olevaa tietojen toimittamista koskevaa velvollisuutta, joten valituksenalainen tuomio on kumottava oikeudellisen virheen vuoksi.

82.      Koska asetuksen 2018/1725 15 artiklan 1 kohdan d alakohdassa säädettyä tietojen toimittamista koskevaa velvollisuutta ei ole merkityksellistä tarkastella kyseessä olevien tietojen vastaanottajan kannalta, asianosaisten argumentit Deloitten mahdollisuudesta tunnistaa rekisteröidyt laillisin ja käytännössä toteutettavissa olevin keinoin osoittautuvat tehottomiksi, minkä vuoksi niitä ei ole tarpeen tutkia.

83.      Jos unionin tuomioistuin ei yhdy tähän näkemykseen, totean toissijaisesti, että EDPS kiistää tältä osin unionin yleisen tuomioistuimen toteamuksen, jonka mukaan Deloittella ei ollut pääsyä tunnistetietoihin. EDPS vetoaa erityisesti SRB:n ja Deloitten väliseen sopimusperusteiseen alihankkijasuhteeseen. SRB ja komissio väittävät, että EDPS esittää näin uusia tosiseikkoja koskevia väitteitä, joita ei voida ottaa tutkivaksi muutoksenhakuvaiheessa. Olen samaa mieltä. SRB:n ja Deloitten välisen sopimusperusteisen suhteen olemassaolo, joka osoittaa, että Deloittella oli mahdollisuus pyytää SRB:ltä kantelijoiden tunnistamista, on nimittäin uusi väite, josta unionin yleinen tuomioistuin ei ole lausunut. Tämä argumentointi olisi tarvittaessa jätettävä tutkimatta unionin tuomioistuimen työjärjestyksen 170 artiklan 1 kohdan toisen virkkeen nojalla, sillä sen mukaan muutoksenhaussa ei voida muuttaa oikeudenkäynnin kohdetta siitä, mikä se oli unionin yleisessä tuomioistuimessa.(37)

B       Toinen valitusperuste, jota tutkitaan toissijaisesti

84.      Toisessa valitusperusteessaan, joka koskee asetuksen 2018/1725 4 artiklan 2 kohdassa ja 26 artiklan 1 kohdassa tarkoitetun osoitusvelvollisuutta koskevan periaatteen loukkaamista, EDPS, jota Euroopan tietosuojaneuvosto tukee, väittää, että unionin yleinen tuomioistuin katsoi SRB:n osoitusvelvollisuutta koskevan periaatteen vastaisesti virheellisesti, että EDPS:n tehtävänä oli osoittaa, että Deloittelle siirretyt tiedot olivat henkilötietoja.

85.      Katson edellä, erityisesti 81–82 kohdassa, esitetyn perusteella, ettei tätä toista valitusperustetta ole tarpeen tutkia.

86.      Käsittelen sitä siksi vain lyhyesti ja toissijaisesti.

87.      Tarkasteltaessa tämän valitusperusteen, jota ei esitetty unionin yleisessä tuomioistuimessa, tutkittavaksi ottamisen edellytysten täyttymistä, jonka SRB kiistää, muistutan, että valittajalla on oikeus vedota valituksessaan perusteisiin, jotka perustuvat valituksenalaiseen tuomioon itseensä ja joilla pyritään arvostelemaan oikeudellisesti sen oikeellisuutta.(38) Tämä pätee nähdäkseni toiseen valitusperusteeseen, joka on siis otettava tutkittavaksi.

88.      Asiakysymyksen osalta on muistutettava, että unionin yleinen tuomioistuin katsoi, että koska EDPS ei tutkinut, oliko Deloittella käytettävissään lailliset ja käytännössä toteutettavissa olevat keinot saada kantelijoiden uudelleen tunnistamiseksi tarvittavia lisätietoja, EDPS ei voinut todeta, että Deloittelle siirretyt tiedot olivat asetuksen 2018/1725 3 artiklan 1 alakohdassa tarkoitettuun tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja.

89.      EDPS, jota Euroopan tietosuojaneuvosto tukee, väittää lähinnä, että unionin yleisen tuomioistuimen olisi pitänyt tarkistaa, oliko rekisterinpitäjänä oleva SRB osoittanut anonymisoineensa riidanalaiset tiedot Deloitteen nähden.

90.      SRB kiistää tämän argumentoinnin ja väittää, että osoitusvelvollisuutta koskevaa periaatetta sovelletaan vain, kun kyse on henkilötiedoista, ja että käsiteltävässä asiassa Deloitten hallussa olleet tiedot oli anonymisoitu.

91.      Komissio puolestaan väittää, että ensinnäkin EDPS:llä on kohtuullinen todistustaakka osoitettaessa henkilötietojen olemassaolo käytettävissä olevien todisteiden perusteella. Toiseksi komission mielestä asianomaisen rekisterinpitäjän on kumottava tämä päätelmä esittämällä lisätodisteita.

92.      Muistutan, että asetuksen 2018/1725 4 artiklan 1 kohdan a alakohdan nojalla henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Kyseisen asetuksen 4 artiklan 2 kohdassa säädetään, että rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu. Kyseisen asetuksen 4 artiklan 2 kohdassa mainitun ja 26 artiklan 1 kohdassa täsmennetyn osoitusvelvollisuutta koskevan periaatteen mukaan rekisterinpitäjän on siis pystyttävä osoittamaan, että se noudattaa 4 artiklan 1 kohdassa mainittuja henkilötietojen käsittelyä koskevia periaatteita.(39)

93.      Koska rekisterinpitäjä esittää tästä riittävästi todisteita, sen voidaan katsoa täyttäneen todistustaakkaansa koskevat vaatimukset.(40)

94.      Käsiteltävässä asiassa mielestäni vaikuttaa siltä, että SRB on esittänyt useita tosiseikkoja (muun muassa huomautusten suodatus-, ryhmittely- ja aggregointiprosessit, joita kuvaillaan riidanalaisessa päätöksessä ja valituksenalaisessa tuomiossa) näyttääkseen osoitusvelvollisuuttaan koskevan periaatteen mukaisesti toteen, ettei Deloitte pystynyt tunnistamaan rekisteröityjä.

95.      Unionin yleisessä tuomioistuimessa EDPS esitti tätä vastaan periaatteellisen kannan, jossa tilannetta tarkastellaan SRB:n eikä Deloitten kannalta ja jossa Deloittelle siirrettyjä huomautuksia pidetään siten henkilötietoina.

96.      Jos tarkasteltavan valitusperusteen toissijaisen tutkimisen yhteydessä myönnetään, että käsiteltävässä asiassa tilannetta on merkityksellistä käsitellä Deloitten kannalta,(41) voitaisiin katsoa, että – kuten unionin yleinen tuomioistuin totesi – EDPS:n tehtävänä oli osoittaa,(42) mistä – oikeudellisesta vai teknisestä – syystä SRB:n toteuttama pseudonymisointiprosessi oli riittämätön käsiteltävässä asiassa ja Deloitten on katsottava käsitelleen henkilötietoja.

97.      Katson näin ollen, että valituksenalainen tuomio on tarvittaessa pysytettävä toisen valitusperusteen osalta.

VII  Unionin yleisessä tuomioistuimessa nostettu kanne

98.      Euroopan unionin tuomioistuimen perussäännön 61 artiklan ensimmäisessä kohdassa määrätään, että jos muutoksenhaku todetaan aiheelliseksi, unionin tuomioistuin julistaa unionin yleisen tuomioistuimen päätöksen mitättömäksi. Se voi joko itse ratkaista asian lopullisesti, jos asia on ratkaisukelpoinen, tai palauttaa asian unionin yleisen tuomioistuimen ratkaistavaksi.

99.      SRB:n unionin yleisessä tuomioistuimessa riidanalaista päätöstä vastaan esittämä ensimmäinen kanneperuste koskee asetuksen 2018/1725 3 artiklan 1 alakohdan rikkomista. Edellä tämän ratkaisuehdotuksen 63–82 kohdasta ilmenee, että koska SRB ei noudattanut asetuksen 2018/1725 15 artiklan 1 kohdan d alakohtaan perustuvaa tietojen toimittamista koskevaa velvollisuuttaan, riidanalainen päätös on nähdäkseni pysytettävä.

100. Sen sijaan toinen kanneperuste, jonka mukaan EDPS loukkasi oikeutta hyvään hallintoon riidanalaisen päätöksen tekemiseen johtaneessa menettelyssä, ei ole nähdäkseni ratkaisukelpoinen.

101. SRB väittää nimittäin erityisesti, että riidanalaisen päätöksen tekemistä edeltäneessä hallinnollisessa menettelyssä EDPS loukkasi sen oikeutta tutustua asiakirja-aineistoon, sen oikeutta tulla kuulluksi ja oikeuskeinojen tasapuolisuuden periaatetta, kun se yhtäältä epäsi SRB:ltä oikeuden tutustua asiakirja-aineistoon eikä toisaalta luovuttanut sille kantelijoiden huomautuksia tai niiden sisältöä.

102. Unionin yleinen tuomioistuin katsoi, että koska ensimmäinen kanneperuste hyväksyttiin, sille esitettyä toista kanneperustetta ei ollut tarpeen tutkia. Toinen kanneperuste, joka edellyttää etenkin tosiseikkojen arviointia, ei siten ole ratkaisukelpoinen. Asia on siksi nähdäkseni palautettava tältä osin unionin yleisen tuomioistuimen ratkaistavaksi, ja oikeudenkäyntikuluista on päätettävä myöhemmin.

VIII  Ratkaisuehdotus

103. Edellä esitetyn perusteella ehdotan, että unionin tuomioistuin

–        kumoaa unionin yleisen tuomioistuimen 26.4.2023 antaman tuomion SRB vastaan EDPS (T‑557/20, EU:T:2023:219)

–        palauttaa asian unionin yleiseen tuomioistuimeen, jotta tämä ratkaisee sille esitetyn toisen kanneperusteen

–        päättää oikeudenkäyntikuluista myöhemmin.

1      Alkuperäinen kieli: ranska.

2      Luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta 23.10.2018 annettu Euroopan parlamentin ja neuvoston asetus (EUVL 2018, L 295, s. 39).

3      EUVL 2014, L 225, s. 1.

4      Banco Popular Español SA:ta koskevan kriisinratkaisumääräyksen hyväksymisestä 7.6.2017 annettu komission päätös (EU) 2017/1246 (EUVL 2017, L 178, s. 15).

5      Asetuksen N:o 806/2014 20 artiklan 1 kohdassa säädetään, että tällainen henkilö on ”riippumaton viranomaisista, myös kriisinratkaisuneuvostosta ja kansallisesta kriisinratkaisuviranomaisesta, ja asianomaisesta yhteisöstä”. Kyseisen asetuksen 20 artiklan 16 kohdassa viitataan tämän riippumattoman henkilön käsitteen osalta 20 artiklan 1 kohtaan.

6      Kyseessä on satunnaisesti luotu 33-numeroinen yksilöllinen tunniste.

7      Riidanalaisesta päätöksestä ilmenee, että Deloitte avusti riippumattomana henkilönä SRB:tä tämän päätöksentekoprosessissa. Tästä päätöksestä käy lisäksi ilmi, että SRB päätti 18.3.2020, ettei kyseeseen tuleville osakkeenomistajille ja velkojille ollut tarpeen maksaa korvausta, ja totesi tämän päätöksen perustuvan Deloitten tekemään kriisinratkaisun jälkeiseen arviointiin ja oikeuteen tulla kuulluksi liittyvässä menettelyssä saatujen huomautusten analyysiin.

8      Toisessa vaatimuksessa vaadittiin alkuperäisen päätöksen toteamista lainvastaiseksi. Unionin yleinen tuomioistuin hylkäsi valituksenalaisessa tuomiossa toisen vaatimuksen toimivallan puuttumisen vuoksi sillä perusteella, että SRB pyrki saamaan sillä vahvistustuomion eikä vaatimaan toimen kumoamista.

9      Ks. valituksenalaisen tuomion 64, 73 ja 74 kohta.

10      Tuomio 20.12.2017 (C‑434/16, EU:C:2017:994; jäljempänä tuomio Nowak). Tässä ratkaisuehdotuksessa mainitaan analogisesti tuomioita, joissa sovelletaan yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettua Euroopan parlamentin ja neuvoston direktiiviä 95/46/EY (EYVL 1995, L 281, s. 31) ja luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1; jäljempänä yleinen tietosuoja-asetus). Kuten asetuksen 2018/1725 johdanto-osan neljännestä ja viidennestä perustelukappaleesta sekä yleisen tietosuoja-asetuksen 2 artiklan 3 kohdasta ja 98 artiklasta ilmenee, unionin lainsäätäjän tarkoituksena on nimittäin ollut ottaa käyttöön unionin toimielinten, elinten ja laitosten henkilötietojen suojaa koskeva järjestelmä, joka vastaa yleisen tietosuoja-asetuksen järjestelmää, jotta varmistetaan yhtenäinen ja johdonmukainen luonnollisten henkilöiden suojelu henkilötietojen käsittelyssä unionissa (ks. tuomio 7.3.2024, OC v. komissio, C‑479/22 P, EU:C:2024:215, 43 kohta).

11      Ks. valituksenalaisen tuomion 100, 103 ja 105 kohta.

12      C‑413/23 P, EU:C:2023:1036.

13      Ks. erityisesti julkisasiamies Pitruzzellan ratkaisuehdotuksen Österreichische Datenschutzbehörde ja CRIF (C‑487/21, EU:C:2022:1000) 36 kohdassa esitetty luettelo, joka ei ole tyhjentävä.

14      Ks. tuomion Nowak 34 ja 35 kohta. Ks. myös tuomio 4.5.2023, Österreichische Datenschutzbehörde ja CRIF (C‑487/21, EU:C:2023:369, 23 ja 24 kohta); tuomio 22.6.2023, Pankki S (C‑579/21, EU:C:2023:501, 42 ja 43 kohta); tuomio 7.3.2024, OC v. komissio (C‑479/22 P, EU:C:2024:215, 45 kohta) ja tuomio IAB Europe (C‑604/22, EU:C:2024:214, 36 ja 37 kohta).

15      Tuomion Nowak 43 kohta.

16      Tuomion Nowak 44 kohdan loppuosa.

17      Ks. vastaavasti valituksenalaisen tuomion 5–7 kohta ja edellä tämän ratkaisuehdotuksen 9 kohta.

18      Ks. valituksenalaisen tuomion 23 kohta.

19      Tuomio 19.10.2016, Breyer (C‑582/14, EU:C:2016:779; jäljempänä tuomio Breyer).

20      Ks. tästä myös henkilötietojen käsitteestä annettu lausunto (tietosuojatyöryhmän lausunto 4/2007, 20.6.2007, WP 136) ja nimenomaisesti anonymisointi- ja pseudonymisointitekniikoista annettu lausunto (tietosuojatyöryhmän lausunto 05/2014, 10.4.2014, WP 216). Tämä pseudonymisointiprosessi on siis erityisen tärkeä erityisesti tilastojen ja tutkimuksen yhteydessä.

21      Vaikka perustelukappaleet eivät ole oikeudellisesti sitovia eivätkä voi olla perustana tulkinnalle, joka olisi ristiriidassa asetuksen 2018/1725 tavoitteiden kanssa, unionin tuomioistuin tunnetusti turvautuu niihin usein tulkitessaan unionin säädöksen säännöksiä (ks. erityisesti julkisasiamies Szpunarin ratkaisuehdotus Planet49, C‑673/17, EU:C:2019:246, 71 kohta ja julkisasiamies Kokottin ratkaisuehdotus komissio v. CK Telecoms UK Investments, C‑376/20 P, EU:C:2022:817).

22      Puhtaasti tekniseltä kannalta katsottuna anonymisoinnilla ei suljeta pois myöskään uudelleen tunnistamisen mahdollisuuksia, minkä vuoksi anonymisointitekniikkoja toteuttavien rekisterinpitäjien on säännöllisesti analysoitava uudelleentunnistuksen riskiä arvioimalla tapauskohtaisesti tämän riskin vakavuutta ja todennäköisyyttä (ks. tästä Tambou, O., Manuel de droit européen de la protection des données à caractère personnel, Bruylant, 2020, 68 kohta ja erityisesti alaviitteessä 162 tältä osin mainitut lähteet).

23      Vaikka pseudonymisoinnin käsitteen käyttöönotolla yleisessä tietosuoja-asetuksessa pyrittiin alun perin tarjoamaan joustavuutta tietosuojavelvoitteiden keventämiseksi (ks. tästä Kuner, C., Bygave, L. A. ja Docksey, C., ”Background and Evolution of the EU General Data Protection Regulation (GDPR)”, teoksessa Kuner, C., Bygrave, L. A., Docksey, C., et Drechsler, L. (toim.), The EU General Data Protection Regulation (GDPR). A Commentary, Oxford University Press, Oxford, 2020, s. 1–47), neuvosto ei noudattanut tätä aikomusta yleisen tietosuoja-asetuksen johdanto-osan 26 perustelukappaleessa, joka toistetaan asetuksen 2018/1725 johdanto-osan 16 perustelukappaleessa.

24      Julkisasiamies Campos Sánchez-Bordona totesi nimittäin ratkaisuehdotuksensa Breyer (C‑582/14, EU:C:2016:339), 64–67 kohdassa seuraavaa: ”Missään tilanteessa ei voida todeta ehdottoman varmasti, ettei ole olemassa sivullista, jonka hallussa on lisätietoja, jotka voidaan yhdistää kyseisiin tietoihin ja joiden avulla voidaan näin paljastaa tietyn henkilön henkilöllisyys. – – Tämä näkemys, joka on tosin erittäin perusteltu, ei voi nähdäkseni kuitenkaan johtaa lainsäätäjän tahdon sivuuttamiseen, ja [asetuksen 2018/1725] johdanto-osan [16] perustelukappaleen systemaattinen tulkinta sisältää uskoakseni tiettyjen sivullisten käyttämät ’kohtuullisesti toteutettavissa olevat keinot’.

25      Esimerkiksi tuomiossa Breyer verkkomediapalvelujen tarjoajan hallussa olevaa dynaamista IP-osoitetta pidetään henkilötietona, vaikka se on erillään internetyhteyden tarjoajan hallussa olevista tunnistetiedoista, koska verkkomediapalvelujen tarjoajalla on käytettävissään kohtuullisesti toteutettavissa olevat keinot rekisteröidyn tunnistamiseksi tämän IP-osoitteen perusteella. Lisäksi 9.11.2023 annetussa tuomiossa Gesamtverband Autoteile-Handel (Ajoneuvoja koskevien tietojen saatavuus) (C‑319/22, EU:C:2023:837) oli kyse ajoneuvon valmistenumerosta, jolla tarkoitetaan aakkosnumeerista koodia, jonka ajoneuvon valmistaja antaa ajoneuvolle sen asianmukaisen tunnistamisen varmistamiseksi. Vaikka tämä valmistenumero ei itsessään ole henkilötieto, se muuttuu henkilötiedoksi silloin, kun on kohtuullisesti käytettävissä olevia keinoja, joiden avulla se voidaan yhdistää tiettyyn henkilöön (46 kohta) ja siten tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (49 kohta). Henkilötietona pidetään myös sellaisia tunnistetietoja sisältävää Euroopan petostentorjuntaviraston (OLAF) lehdistötiedotetta, joiden perusteella valittaja voidaan tunnistaa joko pelkästään kyseisen lehdistötiedotteen objektiivisen tarkastelun perusteella tai keinoilla, joita joku sen lukijoista voisi ”kohtuullisen todennäköisesti käyttää” (tuomio 7.3.2024, OC v. komissio, C‑479/22 P, EU:C:2024:215). Samalla tavoin 7.3.2024 annetussa tuomiossa IAB Europe (C‑604/22, EU:C:2024:214) IAB-yhdistys, joka edustaa digitaalisen mainonnan ja markkinoinnin alan yrityksiä, tarjosi puitteet ”TC-merkkijonon” (kirjaimista ja merkeistä koostuva jono) avulla koodattavien verkkosivustojen käyttäjien mieltymysten tallentamiseen. Tätä TC-merkkijonoa pidettiin henkilötietona, sillä tunnistetietoon yhdistettynä sen perusteella voitiin tunnistaa asianomainen internetin käyttäjä, jonka myös IAB pystyi tunnistamaan, vaikka sillä ei ollut tunnistetietoja, mutta kuitenkin epäsuora pääsy niihin kohtuullisten keinojen avulla (tuomion 48–50 kohta).

26      Tuomion Breyer 46 kohdasta ilmenee, että tällainen tilanne on kyseessä silloin, kun rekisteröidyn tunnistaminen on kielletty laissa tai kun se ei ole käytännössä toteutettavissa esimerkiksi siitä syystä, että se veisi suhteettomasti aikaa ja aiheuttaisi suhteettomasti kustannuksia ja työtä.

27      Voidaan mainita velvoitteet, jotka johtuvat esimerkiksi asetuksen 2018/1725 18 artiklassa säädetystä oikeudesta henkilötietojen oikaisemiseen.

28      Ks. analogisesti tuomio 29.7.2019, Fashion ID (C‑40/17, EU:C:2019:629, 104 kohta oikeuskäytäntöviittauksineen). Ks. myös julkisasiamies Szpunarin ratkaisuehdotus Association Mousse (C‑394/23, EU:C:2024:610, 58 kohta).

29      Ks. analogisesti tuomio 1.10.2015, Bara ym. (C‑201/14, EU:C:2015:638, 34 kohta); tuomio 1.10.2019, Planet49 (C‑673/17, EU:C:2019:801, 77 kohta) ja tuomio 11.7.2024, Meta Platforms Ireland (Edustajakanne) (C‑757/22, EU:C:2024:598, 57 kohta). Asetuksen 2018/1725 johdanto-osan 36 perustelukappaleessa täsmennetään lisäksi, että ”jos henkilötietoja voidaan laillisesti luovuttaa toiselle vastaanottajalle, rekisteröidylle olisi ilmoitettava tästä silloin, kun henkilötietoja luovutetaan ensimmäisen kerran”. Toisin sanoen uuden seikan ilmaantuessa tästä seikasta on ilmoitettava rekisteröidyille ennen tätä ”myöhempää käsittelyä” (ks. vastaavasti ja analogisesti tuomio 27.4.2022, Roos ym. v. parlamentti, T‑710/21, T‑722/21 ja T‑723/21, EU:T:2022:262, 171 kohta).

30      Ks. analogisesti tuomio 11.7.2024, Meta Platforms Ireland (Edustajakanne) (C‑757/22, EU:C:2024:598, 60 kohta) ja julkisasiamies Richard de la Tourin samassa asiassa esittämä ratkaisuehdotus (EU:C:2024:88, 47 kohta). Ks. myös asetuksen 2018/1725 14 artiklan 1 kohta, jonka mukaan ”rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 15 ja 16 artiklan – – mukaiset kaikki käsittelyä koskevat ilmoitukset tiiviisti esitetyssä, läpinäkyvässä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä”.

31      Siltä osin kuin todetaan, ettei tätä lähestymistapaa ole käsitelty kirjelmissä, sen lisäksi, että se tuotiin esiin unionin tuomioistuimessa pidetyssä istunnossa, tämä lähestymistapa kuuluu nähdäkseni käsiteltävään asiaan, koska sen tarkoituksena on määrittää, kenen kannalta käsiteltävässä asiassa kyseessä olevaa tietojen toimittamista koskevaa velvollisuutta on tarkasteltava. Tässä yhteydessä on muistutettava, että vaikka tuomioistuimen tarvitsee ottaa kantaa vain asianosaisten vaatimuksiin, koska asianosaisten asiana on määrittää oikeusriidan laajuus, se ei ole sidottu pelkästään asianosaisten vaatimustensa tueksi esittämiin väitteisiin, sillä muuten se saattaisi joutua perustamaan ratkaisunsa virheellisiin oikeudellisiin näkökohtiin (tuomio 21.9.2010, Ruotsi ym. v. API ja komissio, C‑514/07 P, C‑528/07 P ja C‑532/07 P, EU:C:2010:541, 65 kohta oikeuskäytäntöviittauksineen).

32      Ks. edellä tämän ratkaisuehdotuksen 69 kohta.

33      Tietoisen suostumuksen antamiseen tarvittavan tiedon ennakkoluonteesta ks. tuomio 11.7.2024, Meta Platforms Ireland (Edustajakanne) (C‑757/22, EU:C:2024:598, 60 kohta).

34      Ks. edellä tämän ratkaisuehdotuksen 12 kohdassa oleva alaviite 7.

35      Ks. valituksenalaisen tuomion 13 kohta ja sitä seuraavat kohdat. Ks. myös SRB:n antamat vastaukset istunnossa esitettyihin kysymyksiin.

36      Kyseisten tietojen tiiviisti esitetystä, läpinäkyvästä, ymmärrettävästä ja helposti saatavilla olevasta muodosta sekä selkeällä ja yksinkertaisella kielellä laatimisesta ks. asetuksen 2018/1725 14 artiklan 1 kohta. Ks. myös tietosuojatyöryhmän antamat asetuksen 2016/679 mukaista läpinäkyvyyttä koskevat suuntaviivat, 11.4.2018, WP 260, rev. 01, 30 kohta: ”Jos tietoja koskevat muutokset ilmentävät henkilötietojen käsittelyn luonteessa tapahtuvaa perustavanlaatuista muutosta (esim. vastaanottajaryhmiä laajennetaan tai henkilötietoja aletaan siirtää kolmanteen maahan) tai muutosta, joka ei ole käsittelytoimen kannalta perustavanlaatuinen mutta voi olla rekisteröidyn kannalta olennainen ja vaikuttaa häneen, tiedot on toimitettava rekisteröidylle hyvissä ajoin ennen muutoksen voimaantuloa. Muutokset on tuotava rekisteröidyn tietoon tavalla, joka on yksiselitteinen ja tehokas. Toimintatavan tarkoituksena on varmistaa, ettei muutos jää rekisteröidyltä huomaamatta ja että rekisteröidyllä on kohtuullisesti aikaa a) arvioida muutoksen luonnetta ja vaikutusta sekä b) käyttää muutoksen suhteen tietosuoja-asetuksen mukaisia oikeuksiaan (esim. peruuttaa suostumuksensa tai vastustaa käsittelyä).”

37      Ks. erityisesti tuomio 29.2.2024, Euranimi v. komissio (C‑95/23 P, ei julkaistu, EU:C:2024:177, 53 kohta).

38      Ks. tuomio 25.1.2022, komissio v. European Food ym. (C‑638/19 P, EU:C:2022:50, 77 kohta oikeuskäytäntöviittauksineen).

39      Ks. vastaavasti erityisesti tuomio 4.5.2023, Saksan liittotasavalta (Sähköinen tuomioistuinasioiden postilaatikko) (C‑60/22, EU:C:2023:373, 53 kohta oikeuskäytäntöviittauksineen). Ks. rekisterinpitäjällä olevasta henkilötietojen käsittelyyn annettua suostumusta koskevasta todistustaakasta myös tuomio 11.11.2020, Orange Romania (C‑61/19, EU:C:2020:901, 52 kohta).

40      Ks. yleiseen tietosuoja-asetukseen perustuvan vahingonkorvauskanteen yhteydessä analogisesti tuomio 25.1.2024, MediaMarktSaturn (C‑687/21, EU:C:2024:72, 43–45 kohta): kyseessä olevalla rekisterinpitäjällä on todistustaakka siitä, että sen toteuttamat turvallisuustoimenpiteet ovat asianmukaisia, ja tällaista kannetta käsittelevän tuomioistuimen on otettava huomioon kaikki näyttö, jonka rekisterinpitäjä on esittänyt osoittaakseen, että tekniset ja organisatoriset toimenpiteet, jotka se on toteuttanut velvollisuuksiensa noudattamiseksi, ovat olleet asianmukaisia. Pelkästään sillä perusteella, että rekisterinpitäjän palveluksessa oleva työntekijä on erehdyksessä antanut henkilötietoja sisältävän asiakirjan oikeudettomalle kolmannelle osapuolelle, ei kuitenkaan voida todeta, että kyseessä olevan rekisterinpitäjän toteuttamat tekniset ja organisatoriset toimenpiteet eivät olleet asianmukaisia.

41      Ks. edellä tämän ratkaisuehdotuksen 59 ja 60 kohta.

42      Ks. tästä komission tekemä vertailu valtiontukioikeuteen, jota käsitellään 12.10.2023 annetussa tuomiossa Larko v. komissio (C‑445/22 P, EU:C:2023:773, 29 kohta); samoin kuin tietyn toimenpiteen kuuluminen komission toimivaltaan varmistaa SEUT 107 ja SEUT 108 artiklan täytäntöönpano edellyttää toimenpiteen luokittelua valtiontueksi, käsiteltävässä asiassa asetuksen 2018/1725 soveltaminen ja EDPS:n toimivalta edellyttävät luokittelua henkilötiedoiksi (ks. kyseisen asetuksen 52 artiklan 3 kohta).