Неокончателна редакция

ЗАКЛЮЧЕНИЕ НА ГЕНЕРАЛНИЯ АДВОКАТ

D. SPIELMANN

представено на 6 февруари 2025 година(1)

Дело C‑413/23 P

Европейски надзорен орган по защита на данните

срещу

Единен съвет за преструктуриране

„ Обжалване — Обработване на лични данни — Процедура за обезщетяване на кредиторите и акционерите след преструктурирането на банкова институция — Задължение за информиране — Член 15, параграф 1, буква г) от Регламент (ЕС) 2018/1725 — Неинформиране на тези кредитори и акционери относно получателя на личните данни — Решение на Европейския надзорен орган по защита на данните, с което се установява нарушение на Регламент 2018/1725 във връзка с обработването на псевдонимизирани лични данни “

I.      Въведение

1.        С жалбата си Европейският надзорен орган по защита на данните (ЕНОЗД) иска да бъде отменено решение на Общия съд на Европейския съюз от 26 април 2023 г., ЕСП/ЕНОЗД (T‑557/20, наричано по-нататък „обжалваното съдебно решение“, EU:T:2023:219), с което Общият съд отменя измененото решение на ЕНОЗД от 24 ноември 2020 г. (наричано по-нататък „спорното решение“) по пет жалби, подадени от засегнати от банковото преструктуриране на Banco Popular Español SA (наричана по-нататък „Banco Popular“) акционери и кредитори, които се оплакват, че не са били уведомени за предаването на личните им данни.

2.        Настоящото дело дава възможност на Съда да уточни понятието „лични данни“ и произтичащите от него задължения за добросъвестно и прозрачно обработване на данните в контекста на псевдонимизирани данни.

II.    Правна уредба

3.        Основните разпоредби от Регламент (ЕС) 2018/1725(2), които са от значение за настоящото производство по обжалване, са следните.

4.        Съображения 16 и 17 от този регламент гласят следното:

„(16)      Принципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано. Личните данни, които са били подложени на псевдонимизация, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано. За да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид всички средства, като например подбирането на лица за извършване на проверка, с които е най-вероятно да си послужи администраторът или друго лице, за да идентифицира пряко или непряко даденото физическо лице. За да се уточни дали има разумна вероятност дадени средства да бъдат използвани за идентифициране на физическото лице, следва да се вземат предвид всички обективни фактори, като например разходите и времето, необходими за идентифицирането, като се отчитат както наличните към момента на обработване на данните технологии, така и тяхното развитие. Поради това принципите на защита на данните не следва да се прилагат по отношение на анонимна информация, а именно информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице, или по отношение на лични данни, които са анонимизирани по такъв начин, че субектът на данните вече не може да бъде идентифициран. Ето защо настоящият регламент не се отнася до обработването на такава анонимна информация, включително за статистически или изследователски цели.

(17)      Прилагането на псевдонимизация на личните данни може да намали рисковете за съответните субекти на данни и да помогне на администраторите и на обработващите лични данни да изпълняват своите задължения за защита на данните. Изричното въвеждане на псевдонимизация в настоящия регламент не е предназначено да изключи други мерки за защита на данните“.

5.        Член 3 от посочения регламент е озаглавен „Определения“ и точки 1 и 6 от него предвиждат:

„За целите на настоящия регламент се прилагат следните определения:

1)      „лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, икономическата, културната или социалната идентичност на това физическо лице;

[…]

6)      „псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни да не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано“.

6.        Член 4 от същия регламент е озаглавен „Принципи, свързани с обработването на лични данни“ и параграф 1, буква а) и параграф 2 от него предвиждат:

„1.      Личните данни:

a)      се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

[…]

2.      Администраторът носи отговорност за спазването на параграф 1 и трябва да е в състояние да го докаже („отчетност“)“.

7.        Член 15 от Регламент 2018/1725 е озаглавен „Информация, предоставяна при събиране на лични данни от субекта на данните“ и параграф 1, буква г) от него предвижда:

„Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:

[…]

г)      получателите или категориите получатели на личните данни, ако има такива;

[…]“.

III. Обстоятелствата по спора

8.        На 7 юни 2017 г. Единният съвет за преструктуриране (ЕСП) приема схема за преструктуриране на Banco Popular на основание на Регламент (ЕС) № 806/2014 на Европейския парламент и на Съвета от 15 юли 2014 година за установяването на еднообразни правила и еднообразна процедура за преструктурирането на кредитни институции и някои инвестиционни посредници в рамките на Единния механизъм за преструктуриране и Единния фонд за преструктуриране и за изменение на Регламент (ЕС) № 1093/2010(3), одобрена същия ден с решение на Европейската комисия(4), което на практика означава, че капиталовите инструменти на банката са обезценени или преобразувани и прехвърлени чрез прехвърляне на акции.

9.        В съответствие с член 20, параграфи 16—18 от Регламент № 806/2014 ЕСП възлага на Deloitte да извърши в качеството му на „независимо лице“(5) оценка на разликата в третирането, за да определи дали акционерите и кредиторите, засегнати по този начин от действието по преструктуриране, биха получили по-добро третиране, ако по отношение на тази институция беше образувано обичайно производство по несъстоятелност.

10.      На 14 юни 2018 г. Deloitte предоставя на ЕСП тази оценка на разликата в третирането (наричана по-нататък „оценка 3“). В предварително решение ЕСП посочва, че за да вземе окончателно решение дали на акционерите и кредиторите, засегнати от преструктурирането на Banco Popular, трябва да бъде предоставено обезщетение на основание член 76, параграф 1, буква д) от Регламент № 806/2014, той започва процедурата във връзка с правото на изслушване, включваща първи етап на регистрация, за да провери допустимостта на заявилите интерес лица, и втори етап на консултация, в рамките на който засегнатите акционери и кредитори са представили коментарите си по предварителното решение на ЕСП, към което е приложена оценка 3.

11.      Данните, събрани на етапа на регистрация, а именно доказателствата за самоличността на участниците и за собствеността на обезценени или преобразувани и прехвърлени капиталови инструменти на Banco Popular, са били достъпни за ограничен брой членове на персонала на ЕСП, на които е било възложено обработването на тези данни, за да се определи допуснати ли са участниците. Тези данни не са били видими за членовете на персонала на ЕСП, на които е било възложено обработването на коментарите, получени на етапа на консултация, по време на който те са получили само коментари, идентифицирани с буквено-цифров код(6), свързан с всеки коментар, представен посредством формуляра.

12.      След обобщаването, автоматичното филтриране и категоризирането на коментарите ЕСП изпраща на Deloitte(7) така филтрираните, категоризирани и обобщени коментари по оценка 3. Препратените на Deloitte коментари засягат само тези, получени на етапа на консултация, и са с буквено-цифров код, разработен с одитни цели, за да позволи на ЕСП да провери и евентуално да докаже a posteriori, че всеки коментар е бил обработен и надлежно взет предвид. С помощта на този код единствено ЕСП е можел да свърже коментарите с данните, получени на етапа на регистрация. Deloitte не е имало и все още няма достъп до базата данни, събрани на етапа на регистрация.

13.      На основание на Регламент 2018/1725 засегнати акционери и кредитори (наричани по-нататък „жалбоподателите“) подават пет жалби до ЕНОЗД с мотива, че в публикуваната от ЕСП декларация за поверителност относно обработването на лични данни не се споменава, че данните, събрани посредством формуляра, ще бъдат предадени на Deloitte. Те твърдят, че ЕСП е нарушил задължението си за предоставяне на информация относно обработването на лични данни по силата на този регламент, предвидено в член 15, параграф 1, буква г) от него.

14.      ЕНОЗД приема първоначално решение на 24 юни 2020 г., отменено по искане на ЕСП за преразглеждане и заменено на 24 ноември 2020 г. със спорното решение, което гласи следното:

„1.      ЕНОЗД счита, че данните, които ЕСП е споделил с Deloitte, са били псевдонимизирани данни, защото коментарите на етапа [на консултация] са лични данни и едновременно с това, защото ЕСП е споделил буквено-цифровия код, позволяващ да се свържат отговорите, получени на етапа [на регистрация] с тези на етапа [на консултация], въпреки че данните, предоставени от участниците, за да се идентифицират на етапа [на регистрация], не са били съобщени на Deloitte.

2.      ЕНОЗД намира, че Deloitte е получател на лични данни на жалбоподателите по смисъла на член 3, точка 13 от Регламент 2018/1725. Фактът, че Deloitte не е споменато в декларацията за поверителност на ЕСП като потенциален получател на личните данни, събирани и обработвани от ЕСП, в качеството си на администратор в рамките на процедурата на право на изслушване, е нарушение на задължението за предоставяне на информация, предвидено в член 15, параграф 1, буква г) [от Регламент 2018/1725].

3.      В светлината на всички технически и организационни мерки, въведени от ЕСП за смекчаване на рисковете за правото на лицата на защита на данните в рамките на процедурата на право на изслушване, ЕНОЗД решава да не упражнява корективните си правомощия, предвидени в член 58, параграф 2 [от Регламент 2018/1725].

4.      Същевременно ЕНОЗД препоръчва на ЕСП да се увери, че неговите декларации за поверителност в бъдещите процедури на право на изслушване обхващат обработването на лични данни както на етапа на регистрация, така и на етапа на консултация, и че те включват всички потенциални получатели на събраните данни, с оглед на пълното спазване на задължението за предоставяне на информация на субектите на данните, в съответствие с член 15 [от Регламент 2018/1725]“.

IV.    Обжалваното съдебно решение

15.      С жалба, подадена в секретариата на Общия съд на 1 септември 2020 г., и изявление за изменение, подадено на 29 януари 2021 г., ЕСП иска, от една страна, отмяна на спорното решение и от друга страна, обявяване на първоначалното решение на ЕНОЗД от 24 юни 2020 г. за незаконосъобразно.

16.      В подкрепа на първото искане(8) ЕСП изтъква две основания. Първото основание е нарушение на член 3, точка 1 от Регламент 2018/1725, тъй като предадената на Deloitte информация не представлявала лични данни, а второто — нарушение на правото на добра администрация, закрепено в член 41 от Хартата на основните права на Европейския съюз.

17.      С обжалваното съдебно решение Общият съд обявява това искане за допустимо. Що се отнася до съществото на спора, той приема, че първото основание на жалбата е налице, и отменя спорното решение, без да разглежда второто основание.

18.      По първото основание Общият съд приема, първо, че ЕНОЗД е преценил, че предадената на Deloitte информация е „свързана“ с физическо лице по смисъла на член 3, точка 1 от Регламент 2018/1725, основавайки се на презумпция, без да разгледа нито съдържанието, нито крайната цел, нито последиците на предадената на Deloitte информация(9), в нарушение на решение Nowak(10).

19.      Второ, що се отнася до предвиденото в член 3, точка 1 от Регламент 2018/1725 условие информацията да е свързана с физическо лице, което е „идентифицирано или може да бъде идентифицирано“, Общият съд приема, че в случая ЕНОЗД трябва да разгледа дали предадените на Deloitte коментари съставляват по отношение на същото лични данни. От обжалваното съдебно решение обаче следва, че ЕНОЗД се е ограничил до това да разгледа възможността да се идентифицират повторно авторите на коментарите от гледна точка на ЕСП, а не на Deloitte. Следователно, тъй като ЕНОЗД не е проверил дали Deloitte е разполагало със законни и практически осъществими средства, позволяващи му да получи достъп до допълнителната информация, необходима за повторното идентифициране на авторите на коментарите, ЕНОЗД не е можел да заключи, че предадената на Deloitte информация представлява информация, свързана с „физическо лице, което може да бъде идентифицирано“ по смисъла на член 3, точка 1 от Регламент 2018/1725(11).

V.      Производството пред Съда и исканията на страните

20.      На 5 юли 2023 г. ЕНОЗД подава в секретариата на Съда жалба срещу обжалваното съдебно решение. С определение на председателя на Съда от 29 ноември 2023 г.(12) Европейският комитет по защита на данните е допуснат да встъпи в подкрепа на исканията на ЕНОЗД, а с решение от 20 октомври 2023 г. Европейската комисия е допусната да встъпи в подкрепа на ЕСП.

21.      ЕНОЗД иска от Съда:

–        да отмени обжалваното съдебно решение,

–        да постанови окончателно решение по спора,

–        да осъди ЕСП да плати разноските за производството по обжалване пред Съда и за производството пред Общия съд.

22.      Европейският комитет по защита на данните, който подкрепя исканията на ЕНОЗД, иска от Съда:

–        да отмени обжалваното съдебно решение,

–        да постанови окончателно решение по спора, като остави в сила спорното решение.

23.      ЕСП иска от Съда:

–        да отхвърли жалбата,

–        при условията на евентуалност, да отмени спорното решение,

–        при условията на евентуалност спрямо предходното искане, да върне делото на Общия съд, и

–        да осъди ЕНОЗД да плати разноските за производството по обжалване пред Съда и за производството пред Общия съд.

24.      Европейската комисия, която подкрепя исканията на ЕСП, иска от Съда:

–        да отхвърли жалбата,

–        да осъди ЕНОЗД да заплати съдебните разноски.

VI.    По жалбата пред Съда

25.      В подкрепа на жалбата си пред Съда ЕНОЗД, подпомаган от Европейския комитет по защита на данните, изтъква две основания. С първото се оспорва тълкуването от Общия съд на понятието „лични данни“ по смисъла на член 3, параграфи 1 и 6 от Регламент 2018/1725, както е тълкувано в практиката на Съда. Второто основание е нарушение на принципа на отчетност, предвиден в член 4, параграф 2 и в член 26, параграф 1 от този регламент.

А.      По първото основание за обжалване

26.      Първото основание се състои от две части. Първата част се отнася до условието спорната информация да е „свързана“ с физическо лице, а втората се отнася до условието това лице да е „идентифицирано“ или да „може да бъде идентифицирано“.

1.      По първата част, отнасяща се до въпроса дали информацията е „свързана“ с физическо лице

а)      Доводи на страните

27.      ЕНОЗД, подкрепян в това отношение от Европейския комитет по защита на данните, изтъква, че Общият съд е допуснал грешка, като е приел, че ЕНОЗД се е основал на презумпция относно тълкуването на условието предадената на Deloitte информация да е свързана с физическо лице по смисъла на член 3, точка 1 от Регламент 2018/1725. Той смята, че при обстоятелствата по спора не е било необходимо да извършва по-задълбочена проверка.

28.      От своя страна ЕСП поддържа, че както е постановил Общият съд, ЕНОЗД се е ограничил до това да посочи, че спорните коментари, представени от жалбоподателите на етапа на консултация в процедурата във връзка с правото на изслушване, отразяват техните мнения или възгледи, при положение че той е трябвало да провери дали предадената на Deloitte информация е свързана с конкретно лице по своето съдържание, цел или последици, както изисква решение Nowak.

б)      Анализ

29.      Следва да се припомни, че Съдът многократно е постановявал, че употребата на израза „всяка информация“ в определението на понятието „лични данни“ отразява целта на законодателя на Съюза да придаде широк смисъл на това понятие, което потенциално обхваща всякакъв вид информация(13), както обективна, така и субективна, под формата на становища или преценки, при условие обаче че „засяга“ съответното лице.

30.      В това отношение дадена информация засяга физическо лице, което е идентифицирано или може да бъде идентифицирано, ако поради своето съдържание, крайна цел или последици е „свързана“ с определено лице(14).

31.      Що се отнася до становищата или преценките като разглежданите в настоящия случай коментари на жалбоподателите, струва ми се уместно да се направи разграничение в зависимост от това дали се проверява доколко тези становища или преценки са „свързани“ с лице или лица, посочени в текста на становището или на преценката, или, както в настоящия случай, трябва да се определи дали са свързани с техния автор. В първия случай, за да се заключи, че е налице информация, свързана с лицето, което е посочено в преценката, следва да се анализира дали съдържанието, крайната цел или последиците на преценката засягат това лице. За сметка на това ми се струва, че във втория случай, за да се определи дали преценката е свързана с лицето, което я е направило, би могло да се презумира, че това е така и че дадено становище или преценка винаги е свързано с неговия автор.

32.      Така в решение Nowak по същество става въпрос за преценка на информацията, съдържаща се в писмена изпитна работа. Съответно са били засегнати две лица: кандидатът и проверителят. Вярно е, че Съдът е разгледал съдържанието, крайната цел и последиците на отговорите на кандидата, за да стигне до извода, че те го засягат. При все това, що се отнася по-специално до коментарите на проверителя, които отразяват неговото становище или преценка(15), макар Съдът да е разгледал съдържанието, крайната цел и последиците на съдържащата се в писмената работа информация, за да стигне до извода, че тази преценка е свързана с кандидата, той не е извършил такава проверка, за да приеме, че тя представлява информация, засягаща проверителя, който е неин автор(16). Следователно според мен не може напълно да се изключи възможността да се прилага (обикновена) презумпция, когато трябва да се прецени дали дадено становище или преценка, или, както в случая, коментар, е „свързан“ с неговия автор.

33.      От това стигам до извода, че освен ако бъде доказано противното, доколкото разглежданите в случая коментари са направени от жалбоподателите и показват „тяхната логика и аргументация“, отразявайки по този начин тяхното „субективно мнение“, те непременно „засягат“ посочените жалбоподатели, независимо от крайната цел или последиците на коментарите им.

34.      Във всеки случай, дори при липсата на такава презумпция в настоящия случай, считам, че поради своето съдържание, крайна цел и последици разглежданите коментари са „свързани“ с жалбоподателите.

35.      В това отношение ЕСП поддържа, че доводите, изведени от крайната цел и контекста на разглежданите коментари, са неотносими, тъй като не са били разгледани в спорното решение, недопустими, тъй като съдържат ново фактическо твърдение, и във всички случаи са неправилни.

36.      Тези доводи не ми изглеждат убедителни. Всъщност както проверката, извършена от ЕНОЗД в спорното решение, така и преценката на Общия съд се вписват в правен контекст, който е бил взет предвид и в който ясно се посочват крайната цел и последиците на разглежданите коментари, представени в рамките на процедурата във връзка с правото на изслушване. Следователно тези доводи относно крайната цел и последиците на разглежданите коментари са относими и допустими.

37.      Освен това, по съществото, от приложимата правна уредба следва, че крайната цел на производството във връзка с правото на изслушване, в рамките на което са представени разглежданите коментари, е да позволи на засегнатите акционери и кредитори да способстват за производството, по-специално за да може ЕСП да разполага с цялата необходима информация с цел да вземе окончателно решение дали е необходимо на засегнатите от преструктурирането на Banco Popular акционери и кредитори да се предостави обезщетение в съответствие с принципа, че никой кредитор не може да бъде третиран по-неблагоприятно, отколкото при ликвидация чрез обичайно производство по несъстоятелност(17). Освен това, след като тези коментари са били взети предвид от ЕСП, те са можели да окажат въздействие върху интересите и правата на жалбоподателите на финансово обезщетение.

38.      От това стигам до извода, че разглежданите коментари са свързани със субектите на данни в настоящия случай, включително с оглед на тяхната крайна цел и последици.

39.      Бих добавил, че наистина въпросните коментари, както са предадени на Deloitte, са били „филтрирани, категоризирани и обобщени“, така че, както е видно от установените от Общия съд факти(18), не е било възможно индивидуалните коментари да се разграничат в рамките на една и съща тема; може обаче да се приеме, че дори в обобщен вид тези колективни коментари отразяват в съдържанието си лични гледни точки относно оценка 3. Всъщност те представляват сбор от становища, които като такива са информация, свързана с лицата, които са ги изразили. Тяхното филтриране, категоризиране и обобщаване не променя тази констатация, тъй като в противен случай би било достатъчно да се обобщят няколко гледни точки, за да се заобиколи условието информацията да е „свързана“ с физическо лице. Според мен фактът, че в рамките на тази съвкупност от коментари не могат да се разграничат различните индивидуални становища, спада по-скоро към второто кумулативно условие, свързано с възможността за идентифициране на субектите на данни, разгледано в рамките на втората част от настоящото основание, отколкото към условието коментарът да е „свързан“ с физическо лице.

40.      При тези обстоятелства считам, че може да се приеме, че преценката на Общия съд е опорочена поради грешка при прилагане на правото в това отношение, доколкото той е приел, че ЕНОЗД не е направил изискваната в решение Nowak проверка, когато е заключил, че разглежданите коментари са „свързани“ с физически лица по смисъла на член 3, точка 1 от Регламент 2018/1725.

41.      Ако Съдът реши, че основанието не е налице в тази първа част, и приеме, че разглежданите псевдонимизирани коментари не са свързани с техните автори, анализът на втората част от основанието би се оказал излишен, доколкото съгласно член 3, точка 1 от Регламент 2018/1725 това е необходимо условие за наличието на лични данни, предвидено кумулативно с условието да е възможно идентифицирането на субектите на данни, разгледано по-долу.

2.      По втората част, отнасяща се до условието субектите на данни да могат да бъдат идентифицирани

42.      ЕНОЗД и Европейският комитет по защита на данните поддържат по същество, че Общият съд е допуснал две грешки — първата относно понятието „псевдонимизация“, а втората относно тълкуването на решение Breyer(19), като ЕСП и Комисията оспорват това.

а)      По първото оплакване: грешка относно последиците от псевдонимизацията

43.      Това оплакване илюстрира наличието на два много различни подхода към пределите на приложното поле на правилата за защита на данните. Трябва ли псевдонимизираните данни да попадат в него автоматично само на основание, че субектите на данни все още може да бъдат идентифицирани, независимо от достъпността на допълнителната информация за идентифицирането им, или трябва да се счита, че в резултат на псевдонимизацията данните са лични само за лицата, за които може основателно да се приеме, че могат да идентифицират субектите на данни?

1)      Доводи на страните

44.      ЕНОЗД и Европейският комитет по защита на данните твърдят по същество, че псевдонимизираните данни остават лични данни по единствената причина, че субектите на данни все още може да бъдат идентифицирани, тъй като информацията, позволяваща идентифицирането им, продължава да съществува. Подходът на Общия съд бил погрешен, тъй като позволявал псевдонимизирани данни да се считат за анонимизирани данни по отношение на получателя, което представлявало риск за защитата на субектите на данни и водело до объркване между псевдонимизация и анонимизация. Подобен подход, който бил в противоречие с текста и целта на Регламент 2018/1725, щял да позволи на администратора неоснователно да извади личните данни от приложното поле на правото на Съюза относно защитата на такива данни.

45.      От своя страна ЕСП и Комисията поддържат, че псевдонимизираните данни остават лични данни за администратора, който ги е псевдонимизирал, но че по отношение на получателите следва да се провери дали субектите на данни могат да бъдат идентифицирани. Освен това, макар член 3, точка 1 от Регламент 2018/1725 да не уточнява кой трябва да е в състояние да идентифицира субекта на данните, с оглед на съображение 16 и в контекста на разглеждания в случая член 15, параграф 1, буква г) от този регламент от значение била гледната точка на получателя. Според тях, ако получателят не получава лични данни, субектите на данни нямат интерес да бъдат информирани за предаването на данните, тъй като правата им не са засегнати.

2)      Анализ

46.      Като начало не е излишно да се припомни, че псевдонимизацията е обработване на лични данни, което съгласно съображение 17 от Регламент 2018/1725 има за цел „да намали рисковете“ от свързване на набор от данни със самоличността на субекта на данните и „да помогне на администраторите и на обработващите лични данни да изпълняват своите задължения за защита на данните“.

47.      Така член 3, точка 6 от Регламент 2018/1725 определя псевдонимизацията като „обработването на лични данни по такъв начин, че личните данни да не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, [която] се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано“(20).

48.      Следователно псевдонимизацията не е елемент от определението за лични данни, които от своя страна са определени в член 3, точка 1 от Регламент 2018/1725 с оглед на понятието за възможност за идентифициране на субекта на данните. Впрочем, както посочва Комисията в изявлението си при встъпване, този регламент определя понятието „псевдонимизация“, като съответно препраща към процеса на въвеждане на защитна мярка или на техническа и организационна мярка, а не към понятието „псевдонимизирани данни“.

49.      В подкрепа на това тълкуване е прочитът на член 3, точка 6 във връзка със съображение 16 от посочения регламент, като в първото изречение от последното се припомня, че „[п]ринципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано“.

50.      Освен това съображение 16 от Регламент 2018/1725 заслужава да бъде анализирано по-подробно(21). Всъщност то съдържа второ изречение, в което се посочва, че „личните данни, които са били подложени на псевдонимизация, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано“. По-нататък, в третото и четвъртото изречение се уточнява съдържанието на това изискване за възможност за идентифициране.

51.      От текста на тези разпоредби стигам до извода, че при псевдонимизацията остава възможността субектите на данни да не могат да бъдат идентифицирани, тъй като в противен случай текстът на съображение 16 не би имал смисъл. Бих искал да добавя, че в подкрепа на това тълкуване са последните изречения от посоченото съображение, отнасящи се до анонимизирането: те изключват анонимизираните (или направените анонимни) данни от приложното поле на Регламент 2018/1725(22), но изключват псевдонимизираните данни само при условие че субектите на данни не могат да бъдат идентифицирани. Следователно, в случай че няма възможност да бъдат идентифицирани посочените субекти, те от правна гледна точка се считат за достатъчно защитени чрез процеса на псевдонимизация, независимо от факта, че допълнителните данни за идентифицирането им не са напълно изтрити.

52.      С други думи, не става въпрос за автоматично изключване на псевдонимизираните данни от приложното поле на този регламент(23). Въпреки това, с оглед на съображение 16 от последния не може да се изключи, че при определени условия такива данни могат да бъдат изключени от обхвата на понятието „лични данни“.

53.      Противно на поддържаното от ЕНОЗД, подобен подход според мен не противоречи на целта да се гарантира високо равнище на защита на личните данни, по-специално с оглед на изискванията за възможност за идентифициране, наложени от приложимите разпоредби, от една страна, и с оглед на тълкуването им в съдебната практика, от друга страна.

54.      Първо, съображение 16 от Регламент 2018/1725 се отнася до възможността за идентифициране от администратора „или друго лице“: това широко, но не и неограничено схващане(24), се вписва в подход за защита на личните данни.

55.      Също така съображение 16 предвижда, че следва да се вземат предвид средствата, за които има разумна вероятност да бъдат използвани за идентифициране, пряко или непряко, на физическото лице, предвид всички обективни фактори, като например разходите и времето, необходими за идентифицирането, като се отчитат както наличните към момента на обработване на данните технологии, така и тяхното развитие, което представлява широко определение, гарантиращо защита на личните данни.

56.      Второ, тълкуването в съдебната практика на това понятие за възможност за идентифициране, съсредоточено върху риска от повторно идентифициране на субектите на данни, позволява също широко прилагане на понятието „лични данни“. Така Съдът систематично квалифицира като „лични данни“ данните, които, макар да са отделени от данните за идентифициране, държани от друго лице, биха могли в разглеждания контекст да доведат до опасност субектите на данни да бъдат повторно идентифицирани(25).

57.      Така само ако рискът от идентифициране не съществува или е незначителен(26), дадена информация може от правна гледна точка да не бъде квалифицирана като „лични данни“.

58.      Не намирам за убедителни доводите на ЕНОЗД и на Европейския комитет по защита на данните относно опасностите, произтичащи от твърде стриктно тълкуване на понятието за лични данни. Всъщност фактът, че правилата, произтичащи от Регламент 2018/1725, не се прилагат по отношение на данните, свързани с лица, които не могат да бъдат идентифицирани, не би бил пречка евентуално да бъдат подведени под юридическа отговорност извършилите неправомерни действия образувания, например в случай на вредоносно разкриване на данните. За сметка на това ми се струва непропорционално на образувание, което няма разумна вероятност да идентифицира субектите на данни, да се възлагат задължения по Регламент 2018/1725(27) — задължения, които това образувание по хипотеза не би могло да изпълни или които биха го задължили именно да се опита да идентифицира субектите на данните.

59.      Предвид тези съображения, ако спорът се анализира с оглед на предадените на Deloitte данни, считам, че противно на поддържаното от ЕНОЗД, следва да се определи дали псевдонимизацията на разглежданите данни е достатъчно надеждна, за да може да се заключи, че няма разумна вероятност да бъдат идентифицирани жалбоподателите, които са автори на предадената на Deloitte информация. С други думи, в този контекст, ако Deloitte разполага с разумни средства за идентифициране на посочените жалбоподатели, би могло да се приеме, че то обработва лични данни.

60.      Следователно считам, че първото оплакване на ЕНОЗД трябва да бъде отхвърлено.

б)      По второто оплакване: грешка в сравнението, направено с решение Breyer

1)      Доводи на страните

61.      Според ЕНОЗД, подкрепян в това отношение от Европейския комитет по защита на данните, разглежданите псевдонимизирани данни са лични данни за ЕСП и следователно ЕСП има задължение да предостави на субектите на данни информация относно получателя. По същество той твърди, че Общият съд е тълкувал неправилно решение Breyer, което се отнася до различна фактическа обстановка.

62.      За сметка на това според ЕСП, подкрепян в това отношение от Комисията, сравнението с решение Breyer е релевантно и води до извода, че задължението за предоставяне на информация се прилага само ако предадените данни са лични данни от гледна точка на получателя, в случая Deloitte, което, както правилно е приел Общият съд, в случая не е било доказано.

2)      Анализ

63.      Считам, че задължението за предоставяне на информация, предвидено в член 15, параграф 1, буква г) от Регламент 2018/1725, и паралелът с решение Breyer в случая водят до разрешение, различно от това на Общия съд, както ще изложа при анализа на настоящото оплакване.

64.      Член 4, параграф 1, буква а) от Регламент 2018/1725 поставя изискването данните да се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните.

65.      По-специално член 15, параграф 1, буква г) от този регламент предвижда, че когато лични данни, свързани с даден субект на данни, се събират от последния, администраторът го информира „в момента на получаване на личните данни“ за евентуалните получатели на тези данни. Съответно става ясно, че информацията трябва да бъде дадена от администратора незабавно, а именно в момента на събиране на данните(28).

66.      Значението на спазването на това задължение за предоставяне на информация се потвърждава и от съображение 35 от Регламент 2018/1725, в което се посочва, че принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели, и се подчертава, че администраторът следва да предостави всяка допълнителна информация, която е необходима, за да се гарантира добросъвестно и прозрачно обработване на данните, като се вземат предвид конкретните обстоятелства и контекстът, в които се обработват личните данни(29).

67.      Подобно задължение за информиране е още по-важно, тъй като валидността на даденото от субекта на данни съгласие зависи по-специално от това дали този субект е получил предварително информацията относно всички обстоятелства, свързани с обработването на въпросните данни, която е имал право да получи съгласно членове 14 и 15 от Регламент 2018/1725 и която му дава възможност да даде напълно информирано съгласие(30).

68.      Ще добавя, че единственото изключение от това задължение за предоставяне на информация, предвидено в член 15, параграф 4 от Регламент 2018/1725, се отнася до хипотезата, в която субектът на данните вече разполага с разглежданата информация.

69.      Оттук стигам до извода, че в случая това задължение за предоставяне на информация се вписва в рамките на правоотношението между субектите на данни, в случая жалбоподателите, от една страна, и ЕСП в качеството му на администратор, от друга страна, а не в рамките на отношенията между ЕСП и получателя, а именно Deloitte. Така задължението за предоставяне на информация има за предмет данните, с които ЕСП разполага преди предаването им на Deloitte. Безспорно е обаче, че става въпрос за лични данни, тъй като ЕСП разполага с коментарите и с информацията за идентифициране на лицата, които са ги направили.

70.      Такъв подход от „релевантната гледна точка“(31) ме води до разрешение, различно от това на Общия съд, дори когато се прави сравнение с решение Breyer.

71.      Припомням, че в спора, който е в основата на преюдициалния въпрос, поставен в това решение, г‑н Breyer иска да се забрани на администратора (Федерална република Германия) да съхранява неговия динамичен IP адрес. Допълнителната информация, позволяваща идентифицирането му чрез IP адреса, свързан с компютъра му, е била държана не от администратора на данните, а от доставчика на интернет услуги. Следователно въпросът е бил дали динамичният IP адрес, държан от администратора, може да се квалифицира като „лични данни“ и вследствие на това в рамките на правоотношението между г‑н Breyer и посочения администратор да поражда задължения за съхраняване в тежест на последния, въпреки че идентификационните данни на г‑н Breyer са държани от лице, различно от администратора. По същество е постановено, че макар администраторът да не разполага с допълнителната информация за идентифициране, той може разумно да получи достъп до нея и следователно динамичният IP адрес е квалифициран като „лични данни“.

72.      В настоящия случай, както бе припомнено по-горе(32), задължението за предоставяне на информация се вписва в рамките на отношенията между субектите на данни (жалбоподателите) и администратора (ЕСП): задължението за предоставяне на информация възниква именно когато разглежданите данни са събрани от ЕСП, а що се отнася по-специално до информацията за получателя — най-късно когато той стане известен. Когато обаче този момент се конкретизира, разглежданите данни са лични данни в ръцете на ЕСП, който разполага с допълнителните данни за идентифициране. Следователно с оглед на разглежданото задължение за предоставяне на информация и предвид момента, в който то се конкретизира, разглежданите данни представляват лични данни, независимо от възможността да бъдат идентифицирани от Deloitte, което не е засегнато нито от единствено релевантното правоотношение между жалбоподателите и ЕСП, нито от това задължение на ЕСП за предоставяне на информация.

73.      Струва ми се, че именно по този начин паралелът с решение Breyer трябва да се разглежда като относителен в настоящия случай.

74.      От това следва, че ЕСП е бил длъжен да предостави информация в качеството си на администратор и поради отношенията си с жалбоподателите, от които е събрал разглежданите данни, и то независимо от това дали предадените на Deloitte данни са лични или не.

75.      Поради това трябва да се отхвърли доводът на ЕСП, повторен в съдебното заседание, че гледната точка на получателя е релевантна, тъй като е важно да се установи дали той е „получател на лични данни“.

76.      В това отношение е вярно, че текстът на член 15, параграф 1, буква г) от Регламент 2018/1725, в който се говори за „получателите […] на личните данни“, може да доведе до объркване. Полезното действие на тази разпоредба обаче изисква информацията да бъде предоставена на субектите на данни възможно най-скоро и преди посоченото предаване на данни(33). В случая, макар при първоначалното събиране на коментарите ЕСП да не е имал намерение да поиска становището на Deloitte, за да установи дали тези коментари изменят оценка 3, от спорното пред Общия съд решение е видно, че Deloitte е подпомагало ЕСП в рамките на процедурата във връзка с правото на изслушване(34). Освен това може да се счита, че намерението на ЕСП да предостави на Deloitte псевдонимизираните данни е съществувало най-късно към момента, в който е било решено разглежданите коментари да се обработят именно за целите на тяхното псевдонимизиране(35), като в противен случай не би имало никаква обосновка за псевдонимизацията.

77.      Ето защо считам, че извършването на проверка за спазването на задължението за предоставяне на информация към момента, в който данните са били предадени от ЕСП на Deloitte, изхождайки от гледната точка на последното като получател с оглед на това разглежданите данни да бъдат или да не бъдат квалифицирани като лични, води до изместване на тази проверка във времето. Следователно тази проверка би била неправилно отложена, тъй като би била извършена спрямо вече предадените на получателя данни, въпреки че задължението за предоставяне на информация се отнася до отношенията между ЕСП и жалбоподателите и има за цел да даде възможност на последните да дадат своето информирано съгласие преди предаването.

78.      Освен това, що се отнася до съгласието на жалбоподателите, участието им в процедурата във връзка с правото на изслушване несъмнено може да се тълкува като мълчаливо съгласие за споделяне на лични данни с администратора, за да бъдат взети предвид коментарите им. Според мен обаче това не е достатъчно, за да представлява информирано съгласие за псевдонимизирането на данните и предаването им на Deloitte без предварителна информация в това отношение от страна на ЕСП(36).

79.      Ето защо според мен в случая задължението на ЕСП за предоставяне на информация се е прилагало преди предаването на разглежданите данни и независимо дали те са лични или не, докато са били държани от Deloitte.

80.      При това положение обстоятелството дали псевдонимизацията е достатъчно надеждна и ефективна, така че да може да се установи дали държаните от Deloitte данни са лични данни или не, в крайна сметка според мен не е относимо с оглед на задължението на ЕСП за предоставяне на информация.

81.      Следователно в случая задължението на ЕСП за предоставяне на информация в качеството му на администратор е трябвало да бъде изпълнено и поради това обжалваното съдебно решение трябва да бъде отменено поради грешка при прилагане на правото.

82.      След като гледната точка на получателя на разглежданите данни не е релевантна с оглед на задължението за предоставяне на информация, предвидено в член 15, параграф 1, буква г) от Регламент 2018/1725, доводите на страните относно възможността Deloitte да идентифицира чрез законни и практически осъществими средства субектите на данните се оказват неотносими и следователно не е необходимо да бъдат разглеждани.

83.      Ако Съдът не е на това мнение, отбелязвам при условията на евентуалност, че ЕНОЗД оспорва в това отношение констатацията на Общия съд, че Deloitte не е имало достъп до данните за идентификация. Той се основава по-специално на съществуващото между ЕСП и Deloitte договорно правоотношение за подизпълнение. ЕСП и Комисията изтъкват, че по този начин ЕНОЗД повдига нови фактически твърдения, които са недопустими на етапа на обжалването пред Съда. Съгласен съм с това. Всъщност изтъкването на наличието на договорно правоотношение между ЕСП и Deloitte, което доказвало възможността Deloitte да поиска от ЕСП данните за идентифициране на жалбоподателите, представлява нов довод, по който впрочем Общият съд изобщо не се е произнесъл. От това следва, че този довод евентуално би трябвало да бъде отхвърлен като недопустим съгласно член 170, параграф 1, второ изречение от Процедурния правилник на Съда, съгласно който с жалбата не може да се изменя предметът на спора пред Общия съд(37).

Б.      По второто основание, разгледано при условията на евентуалност

84.      С второто си основание, а именно нарушение на принципа на отчетност, прогласен в член 4, параграф 2 и член 26, параграф 1 от Регламент 2018/1725, ЕНОЗД, подкрепян в това отношение от Европейския комитет по защита на данните, поддържа, че Общият съд неправилно е приел, че той е трябвало да докаже, че предадената на Deloitte информация представлява лични данни, в нарушение на принципа на отчетност на ЕСП.

85.      С оглед на изложеното дотук, и по-специално на точки 81 и 82 по-горе, считам, че не е необходимо да се разглежда това второ основание.

86.      Ето защо ще го разгледам само накратко, при условията на евентуалност.

87.      Що се отнася до оспорваната от ЕСП допустимост на това основание, което не е повдигнато пред Общия съд, припомням, че е допустимо жалбоподателят да обжалва решението на Общия съд на основания, произтичащи от самото обжалвано съдебно решение и насочени към оспорване, от правна гледна точка, на неговата правилност(38). Струва ми се, че такъв е случаят с настоящото основание, което следователно е допустимо.

88.      Що се отнася до съществото на спора, следва да се припомни, че Общият съд е постановил, че тъй като ЕНОЗД не е проверил дали Deloitte е разполагало със законни и практически осъществими средства, позволяващи му да получи достъп до допълнителната информация, необходима за повторното идентифициране на жалбоподателите, ЕНОЗД не е можел да заключи, че предадената на Deloitte информация представлява информация, свързана с „физическо лице, което може да бъде идентифицирано“ по смисъла на член 3, точка 1 от Регламент 2018/1725.

89.      ЕНОЗД, подкрепян в това отношение от Европейския комитет по защита на данните, поддържа по същество, че Общият съд е трябвало да провери дали ЕСП като администратор е доказал, че е анонимизирал спорните данни по отношение на Deloitte.

90.      ЕСП оспорва тези доводи, като изтъква, че принципът на отчетност се прилага само при наличие на лични данни и че в случая държаните от Deloitte данни са анонимизирани.

91.      От своя страна Комисията поддържа, че на първо място, ЕНОЗД носи разумна тежест на доказване, за да удостовери въз основа на наличните доказателства съществуването на лични данни. На второ място, съответният администратор трябва да опровергае този извод, като представи допълнителни доказателства.

92.      Припомням, че съгласно член 4, параграф 1, буква а) от Регламент 2018/1725 личните данни трябва да се обработват законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните. Член 4, параграф 2 от този регламент предвижда, че „администраторът носи отговорност за спазването на параграф 1 и трябва да е в състояние да го докаже“. Така от принципа на отчетност, прогласен в член 4, параграф 2 и уточнен в член 26, параграф 1 от посочения регламент, следва, че администраторът трябва да е в състояние да докаже, че спазва принципите, свързани с обработването на лични данни, прогласени в член 4, параграф 1(39).

93.      След като администраторът представи достатъчно доказателства в този смисъл, може да се приеме, че той е изпълнил възложената му тежест на доказване(40).

94.      В случая ми се струва, че ЕСП изтъква няколко фактически обстоятелства (по-специално процесите на филтриране, категоризиране, обобщаване на коментарите, описани в спорното решение и в обжалваното съдебно решение), за да докаже в съответствие с принципа на отчетност, който е трябвало да спази, че е невъзможно Deloitte да идентифицира субектите на данните.

95.      Срещу това ЕНОЗД е изложил пред Общия съд принципна позиция, като е анализирал от гледната точка на ЕСП, а не на Deloitte, и по този начин е квалифицирал предадените на Deloitte коментари като „лични данни“.

96.      Ако за целите на разглеждането на настоящото основание при условията на евентуалност се приеме, че в случая гледната точка на Deloitte е релевантна(41), би могло да се приеме, както постановява Общият съд, че ЕНОЗД е трябвало да докаже(42) по каква причина — правна или техническа — процесът на псевдонимизация, приложен от ЕСП в случая, не е бил достатъчен и следва да доведе до извода, че Deloitte е обработвало лични данни.

97.      Ето защо съм на мнение, че евентуално обжалваното съдебно решение следва да бъде оставено в сила по отношение на второто основание.

VII. По жалбата пред Общия съд

98.      Съгласно член 61, първа алинея от Статута на Съда на Европейския съюз, ако жалбата е основателна, Съдът отменя решението на Общия съд. В този случай той може сам да постанови окончателно решение по делото, когато фазата на производството позволява това, или да върне делото на Общия съд за постановяване на решение.

99.      Първото основание, изтъкнато от ЕСП срещу спорното решение пред Общия съд, е нарушение на член 3, точка 1 от Регламент 2018/1725. От точки 63—82 от настоящото заключение следва, че тъй като ЕСП не е изпълнил задължението си за предоставяне на информация по член 15, параграф 1, буква г) от Регламент 2018/1725, според мен спорното решение трябва да бъде оставено в сила.

100. За сметка на това според мен фазата на производството не позволява да се постанови окончателно решение по второто основание, а именно нарушение от ЕНОЗД на правото на добра администрация в рамките на производството, в което е прието спорното решение.

101. Всъщност ЕСП поддържа по-специално, че в рамките на административното производство, предхождащо приемането на спорното решение, ЕНОЗД е нарушил правото му на достъп до преписката, правото му да бъде изслушан, както и принципа на равни процесуални възможности, като, от една страна, му е отказал достъп до преписката, и от друга страна, не му е предоставил становищата на жалбоподателите или тяхното съдържание.

102. Общият съд обаче е приел, че тъй като е налице първото основание на жалбата, не е било необходимо да се разглежда второто изтъкнато пред него основание. Следователно фазата на производството не позволява да се постанови окончателно решение по това основание, което предполага по-специално преценка на фактите. Ето защо ми се струва, че делото трябва да бъде върнато на Общия съд, който да се произнесе в това отношение, без Съдът да се произнася по съдебните разноски.

VIII. Заключение

103. С оглед на изложените по-горе съображения предлагам на Съда:

–        да отмени решение на Общия съд на Европейския съюз от 26 април 2023 г., ЕСП/ЕНОЗД (T‑557/20, EU:T:2023:219),

–        да върне делото на Общия съд, който да се произнесе по второто изтъкнато пред него основание,

–        да не се произнася по съдебните разноски.

1      Език на оригиналния текст: френски.

2      Регламент на Европейския парламент и на Съвета от 23 октомври 2018 година относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 2018 г., стр. 39).

3      ОВ L 225, 2014 г., стр. 1.

4      Решение (ЕС) 2017/1246 на Комисията от 7 юни 2017 година за одобряване на схемата за преструктуриране на Banco Popular Español SA (ОВ L 178, 2017 г., стр. 15).

5      Член 20, параграф 1 от Регламент № 806/2014 предвижда, че това лице е „независимо от публични органи, включително [ЕСП] и националния орган за преструктуриране, и от съответния субект“. Член 20, параграф 16 от този регламент препраща към член 20, параграф 1, що се отнася до понятието „независимо лице“.

6      Става въпрос за уникален универсален 33-цифров идентификатор, генериран на случаен принцип.

7      От спорното решение е видно, че Deloitte е подпомагало ЕСП като независимо лице в процеса на вземане на решения. От това решение е видно също, че на 18 март 2020 г. ЕСП решава, че на засегнатите акционери и кредитори не се дължи никаква компенсация, и посочва, че това решение се основава на извършената от Deloitte оценка след преструктурирането, както и на анализа на коментарите, получени в рамките на процедурата във връзка с правото на изслушване.

8      Второто искане е първоначалното решение да бъде обявено за незаконосъобразно. С обжалваното съдебно решение Общият съд отхвърля второто искане поради липса на компетентност с мотива, че по този начин ЕСП цели да постигне установително съдебно решение, а не отмяна на акт.

9      Вж. точки 64, 73 и 74 от обжалваното съдебно решение.

10      Решение от 20 декември 2017 г. (C‑434/16, наричано по-нататък „решение Nowak“, EU:C:2017:994). В настоящото заключение ще бъдат цитирани по аналогия решенията, в които се прилагат Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г. стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10) и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1, наричан по-нататък „ОРЗД“). Всъщност, както следва от съображения 4 и 5 от Регламент 2018/1725, както и от член 2, параграф 3 и член 98 от ОРЗД, законодателят на Съюза е искал да въведе режим на защита на личните данни от институциите, органите, службите и агенциите на Съюза, който е равностоен на предвидения в ОРЗД, за да се гарантира единна и съгласувана защита на физическите лица във връзка с обработването на техните лични данни в рамките на Съюза (вж. решение от 7 март 2024 г., OC/Комисия, C‑479/22 P, EU:C:2024:215, т. 43).

11      Вж. точки 100, 103 и 105 от обжалваното съдебно решение.

12      C‑413/23 P, EU:C:2023:1036.

13      Вж. по-специално неизчерпателното изброяване в точка 36 от заключението на генерален адвокат Pitruzzella по дело Österreichische Datenschutzbehörde и CRIF (C‑487/21, EU:C:2022:1000).

14      Вж. решение Nowak, точки 34 и 35. Вж. освен това решения от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF (C‑487/21, EU:C:2023:369, т. 23 и 24), от 22 юни 2023 г., Pankki S (C‑579/21, EU:C:2023:501, т. 42 и 43), от 7 март 2024 г., OC/Комисия (C‑479/22 P, EU:C:2024:215, т. 45), и от 7 март 2024 г., IAB Europe (C‑604/22, EU:C:2024:214, т. 36 и 37).

15      Решение Nowak, точка 43.

16      Решение Nowak, точка 44 in fine.

17      Вж. в този смисъл точки 5—7 от обжалваното съдебно решение и точка 9 от настоящото заключение.

18      Вж. точка 23 от обжалваното съдебно решение.

19      Решение от 19 октомври 2016 г., Breyer (C‑582/14, наричано по-нататък „решение Breyer“, EU:C:2016:779).

20      Вж. също в това отношение становището относно понятието „лични данни“ (Работна група по член 29, становище 4/2007, 20 юни 2007 г., WP 136) и становището, което изрично се отнася до техниките за анонимизиране и псевдонимизация (Работна група по член 29, становище 05/2014, 10 април 2014 г., WP 216). Следователно този процес на псевдонимизация е особено важен, по-специално в контекста на научните изследвания и статистиката.

21      Макар съображенията да нямат задължителна правна сила и да не могат да послужат като основа за тълкуване, което би било в противоречие с преследваните с Регламент 2018/1725 цели, Съдът често се е основавал на тях, за да тълкува разпоредбите на правен акт на Съюза (вж. по-специално заключението на генерален адвокат Szpunar по дело Planet49, C‑673/17, EU:C:2019:246, т. 71, и заключението на генерален адвокат Kokott по дело Комисия/CK Telecoms UK Investments, C‑376/20 P, EU:C:2022:817).

22      Впрочем от чисто техническа гледна точка анонимизирането не изключва възможностите за повторно идентифициране, поради което администраторите, които прилагат техники за анонимизиране, трябва редовно да анализират присъщия риск от повторна идентификация, като преценяват тежестта и вероятността от този риск за всеки отделен случай (вж. в това отношение Tambou O. Manuel de droit européen de la protection des personnes personnel. Bruylant 2020, р. 68 и препратките в това отношение по-специално в бележка под линия 162).

23      Въпреки че първоначалното намерение за въвеждане на понятието „псевдонимизация“ в ОРЗД е било да се осигури гъвкавост, за да се смекчат задълженията за защита на данните (вж. в това отношение Kuner, C., Bygave, L. A. et Docksey, C. Background and Evolution of the EU General Data Protection Regulation (GDPR) — In: Kuner, C., Byducit, L. A., Docksey, C. и Drechsler, L. (dir.). The EU General Data Protection Regulation (GDPR). A Commentary, Oxford University Press, Oxford, 2020, р. 1—47), Съветът не възприема това намерение в съображение 26 от ОРЗД, чийто текст е възпроизведен в съображение 16 от Регламент 2018/1725.

24      Както посочва генерален адвокат Campos Sánchez-Bordona в точки 64—67 от заключението си по дело Breyer (C‑582/14, EU:C:2016:339), „[н]икога не би било възможно да се отхвърли с абсолютна сигурност възможността от съществуването на трето лице, разполагащо с допълнителни данни, които съвместно с подобна информация, да доведат в резултат на това до разкриване на идентичността на дадено лице. […] Считам обаче, че тази загриженост — между впрочем напълно легитимна — не може да бъде основание да се игнорира изразената волята на законодателя, както и че систематичното тълкуване на съображение [16 от Регламент 2018/1725] трябва да бъде сведено до „средства, които биха могли да бъдат използвани разумно“ от определени трети лица“.

25      Например в решение Breyer динамичен IP адрес, държан от доставчик на онлайн медийни услуги, макар и отделен от данните за идентификация, държани от доставчика на достъп до интернет, се квалифицира като „лични данни“, тъй като доставчикът на онлайн медийни услуги е разполагал със средства, които могат разумно да се използват, за да се установи самоличността на субекта на данни по този IP адрес. Също така в решение от 9 ноември 2023 г., Gesamtverband Autoteile-Handel (Достъп до информация за превозните средства) (C‑319/22, EU:C:2023:837), се разглежда VIN на превозно средство, определен като буквено-цифров код, присвоен на превозното средство от производителя, за да гарантира правилната идентификация на това превозно средство. Макар сам по себе си да няма личен характер, този VIN придобива този характер по отношение на всеки, който, разумно погледнато, разполага със средства, които позволяват да ги свърже с определено лице (т. 46) и по този начин с физическо лице, което е идентифицирано или може да бъде идентифицирано (т. 49). Освен това прессъобщение на Европейската служба за борба с измамите (OLAF), което съдържа идентификатори, позволяващи да се идентифицира жалбоподателят, било само въз основа на обективен прочит на това прессъобщение, било с помощта на средства, за които „има разумна вероятност […] да бъдат използвани“ от някой от неговите читатели, представлява лични данни (решение от 7 март 2024 г., OC/Комисия, C‑479/22 P, EU:C:2024:215). По същия начин в решение от 7 март 2024 г., IAB Europe (C‑604/22, EU:C:2024:214), сдружението IAB, което представлява предприятията от сектора на цифровата реклама и дигиталния маркетинг, въвежда рамка за записването на предпочитанията на потребителите на уебсайтове, кодирани посредством „ТС низ“ (комбинация от букви и символи). Този ТС низ е счетен за лични данни, тъй като заедно с идентификатор позволява да се идентифицира съответният интернет потребител, включително от IAB, което не притежава идентификационните данни, но разполага с разумни средства да получи непряко достъп до тях (т. 48—50 от решението).

26      От точка 46 от решение Breyer следва, че такъв би бил случаят, ако идентифицирането на съответното лице е забранено от закона или фактически неизпълнимо, например тъй като това би означавало несъразмерно усилие на време, разходи и труд.

27      Може да се споменат например задълженията, произтичащи от правото на коригиране на лични данни, предвидено в член 18 от Регламент 2018/1725.

28      Вж. по аналогия решение от 29 юли 2019 г., Fashion ID (C‑40/17, EU:C:2019:629, т. 104 и цитираната съдебна практика). Вж. също заключението на генерален адвокат Szpunar по дело Association Mousse (C‑394/23, EU:C:2024:610, т. 58).

29      Вж. по аналогия решения от 1 октомври 2015 г., Bara и др. (C‑201/14, EU:C:2015:638, т. 34), от 1 октомври 2019 г., Planet49 (C‑673/17, EU:C:2019:801, т. 77), и от 11 юли 2024 г., Meta Platforms Ireland (Представителен иск) (C‑757/22, EU:C:2024:598, т. 57). Освен това в съображение 36 от Регламент 2018/1725 се уточнява, че „[в] случаите, в които личните данни могат да бъдат законно разкрити на друг получател, субектът на данните следва да бъде информиран, когато личните данни се разкриват за първи път на получателя“. С други думи, при поява на нови обстоятелства субектите на данни трябва да бъдат уведомени за това преди „по-нататъшното обработване“ (вж. в този смисъл и по аналогия решение от 27 април 2022 г., Roos и др./Парламент, T‑710/21, T‑722/21 и T‑723/21, EU:T:2022:262, т. 171).

30      Вж. по аналогия решение от 11 юли 2024 г., Meta Platforms Ireland (Представителен иск) (C‑757/22, EU:C:2024:598, т. 60), и точка 47 от заключението на генерален адвокат Richard de la Tour по същото дело (EU:C:2024:88). Вж. също член 14, параграф 1 от Регламент 2018/1725, съгласно който „[а]дминистраторът предприема необходимите мерки за предоставяне на субекта на данните на всякаква информация по членове 15 и 16 […], която се отнася до обработването, в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език“.

31      Доколкото може да се заключи, че този подход не е бил разгледан по този начин в писмените становища, отбелязвам, че освен че е изтъкнат в съдебното заседание пред Съда, той се вписва в рамките на настоящия спор, доколкото има за цел да определи релевантната гледна точка с оглед на разглежданото в случая задължение за предоставяне на информация. В този контекст, макар да трябва да се произнася само по искане на страните, които очертават рамките на спора, съдът не е обвързан единствено от доводите, изтъкнати от тях в подкрепа на исканията им, тъй като в противен случай би могъл да се окаже принуден да основе решението си на погрешни правни съображения (вж. решение от 21 септември 2010 г., Швеция и др./API и Комисия, C‑514/07 P, C‑528/07 P и C‑532/07 P, EU:C:2010:541, т. 65 и цитираната съдебна практика).

32      Вж. точка 69 от настоящото заключение.

33      Относно предварителното предоставяне на информацията с цел да се даде възможност за информирано съгласие вж. решение от 11 юли 2024 г., Meta Platforms Ireland (Представителен иск) (C‑757/22, EU:C:2024:598, т. 60).

34      Вж. бележка под линия 7 в точка 12 от настоящото заключение.

35      Вж. точка 13 и сл. от обжалваното съдебно решение. Вж. също отговорите на ЕСП на въпросите в съдебното заседание.

36      Относно кратката, прозрачна, разбираема и леснодостъпна форма на посочената информация и формулирането ѝ на ясен и прост език вж. член 14, параграф 1 от Регламент 2018/1725. Вж. също Работна група по член 29, Насоки относно прозрачността съгласно Регламент (ЕС) 2016/679, 11 април 2018 г., WP 260, rev. 01, точка 30: „Ако промяната в информацията се отразява съществено върху естеството на обработването (например разширяване на категориите получатели или въвеждане на предаване на данни на трета държава) или пък е налице промяна, която може да не е от съществено значение от гледна точка на операцията по обработването, но да е от значение за субекта на данните и да окаже въздействие върху него, тогава тази информация следва да бъде предоставена на субекта на данните достатъчно рано преди действителното изпълнение на промяната и използваният метод за насочване вниманието на субекта на данните към съответните промени следва да бъде ясен и ефективен. С това се цели да се гарантира, че субектът на данните няма да „пропусне“ промяната, и на субекта на данните да се предостави разумен срок, за да а) обмисли естеството и въздействието на промяната и б) упражни правата си съгласно ОРЗД по отношение на промяната (например да оттегли съгласието си или да отправи възражение срещу обработването)“.

37      Вж. по-специално решение от 29 февруари 2024 г., Euranimi/Комисия (C‑95/23 P, непубликувано, EU:C:2024:177, т. 53).

38      Вж. решение от 25 януари 2022 г., Комисия/European Food и др. (C‑638/19 P, EU:C:2022:50, т. 77 и цитираната съдебна практика).

39      Вж. по-специално в този смисъл решение от 4 май 2023 г., Bundesrepublik Deutschland (Електронна пощенска кутия на съда) (C‑60/22, EU:C:2023:373, т. 53 и цитираната съдебна практика). Относно възложената на администратора тежест на доказване на съгласието с третирането на данните вж. също решение от 11 ноември 2020 г., Orange Romania (C‑61/19, EU:C:2020:901, т. 52).

40      Вж. по аналогия в контекста на иск за обезщетение, основан на ОРЗД, решение от 25 януари 2024 г., MediaMarktSaturn (C‑687/21, EU:C:2024:72, т. 43—45): съответният администратор носи тежестта да докаже, че приложените от него мерки за сигурност са подходящи, а сезираният съд трябва да вземе предвид и всички доказателства, които администраторът е представил, за да докаже, че техническите и организационните мерки, които той е приел, за да изпълни задълженията си, са подходящи. Фактът, че служители на администратора на лични данни по погрешка са предали документ, съдържащ лични данни, на трето лице, което няма право да разполага с тях, обаче сам по себе си не е достатъчен, за да се приеме, че приложените от въпросния администратор технически и организационни мерки не са „подходящи“.

41      Вж. точки 59 и 60 от настоящото заключение.

42      Вж. в това отношение направеното от Комисията сравнение със законодателството в областта на държавните помощи в решение от 12 октомври 2023 г., Larko/Комисия (C‑445/22 P, EU:C:2023:773, т. 29); както квалифицирането на дадена мярка като държавна помощ е предварително условие, за да може тази мярка да попадне в компетентността на Комисията да прилага членове 107 и 108 ДФЕС, така и в случая квалифицирането като „лични данни“ е предварително условие за прилагането на Регламент 2018/1725 и за компетентността на ЕНОЗД (вж. член 52, параграф 3 от този регламент).