1

С жалбата си Европейският надзорен орган по защита на данните (ЕНОЗД) иска отмяна на решението на Общия съд на Европейския съюз от 26 април 2023 г., ЕСП/ЕНОЗД (T‑557/20, наричано по-нататък обжалваното съдебно решение, EU:T:2023:219), с което същият отменя измененото решение на ЕНОЗД от 24 ноември 2020 г., прието вследствие на отправеното от Единния съвет за преструктуриране (ЕСП) искане за преразглеждане на решението от 24 юни 2020 г., което ЕНОЗД е приел по пет жалби, подадени от няколко жалбоподатели (преписки 2019‑947, 2019‑998, 2019‑999, 2019‑1000 и 2019‑1122) (наричано по-нататък „спорното решение“).

2

Съображения 5, 16, 17 и 35 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 година относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (ОВ L 295, 2018 г., стр. 39) гласят следното:

[…]

[…]

3

Член 3 („Определения“), точки 1, 6, 8 и 13 от Регламент 2018/1725 предвижда:

„За целите на настоящия регламент се прилагат следните определения:

[…]

[…]

[…]

4

Член 4 („Принципи, свързани с обработването на лични данни“), параграф 2 от този регламент гласи:

„Администраторът носи отговорност за спазването на параграф 1 и трябва да е в състояние да го докаже („отчетност“)“.

5

Член 14 („Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данни“), параграф 1 от посочения регламент предвижда:

„Администраторът предприема необходимите мерки за предоставяне на субекта на данните на всякаква информация по членове 15 и 16 и на всякаква комуникация по членове 17—24 и член 35, която се отнася до обработването, в кратка, прозрачна, разбираема и леснодостъпна форма, на ясен и прост език, особено що се отнася до всяка информация, конкретно насочена към деца. Информацията се предоставя писмено или по друг начин, включително, когато е целесъобразно, с електронни средства. Ако субектът на данните е поискал това, информацията може да бъде дадена устно, при условие че идентичността на субекта на данните е доказана с други средства“.

6

Член 15 („Информация, предоставяна при събиране на лични данни от субекта на данните“) от същия регламент гласи:

„1.   Когато лични данни, свързани с даден субект на данни, се събират от субекта на данните, в момента на получаване на личните данни администраторът предоставя на субекта на данните цялата посочена по-долу информация:

[…]

[…]

2.   Освен информацията, посочена в параграф 1, в момента на получаване на личните данни администраторът предоставя на субекта на данните следната допълнителна информация, която е необходима за осигуряване на добросъвестно и прозрачно обработване:

[…]

[…]“.

7

Член 24 от Регламент 2018/1725 определя условията, при които индивидуалните решения могат да се основават на автоматизирано обработване, включително профилиране.

8

Член 26 („Отговорност на администратора“), параграф 1 от този регламент предвижда:

„Като взема предвид естеството, обхвата, контекста и целите на обработването, както и рисковете с различна вероятност и тежест за правата и свободите на физическите лица, администраторът въвежда подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с настоящия регламент. Тези мерки се преразглеждат и при необходимост се актуализират“.

9

Обстоятелствата, предхождащи спора, са изложени в точки 2—32 от обжалваното съдебно решение и могат да бъдат обобщени по следния начин.

10

На 7 юни 2017 г. изпълнителната сесия на ЕСП приема Решение SRB/EES/2017/08 относно схема за преструктуриране на Banco Popular Español, SA на основание на Регламент (ЕС) № 806/2014 на Европейския парламент и на Съвета от 15 юли 2014 година за установяването на еднообразни правила и еднообразна процедура за преструктурирането на кредитни институции и някои инвестиционни посредници в рамките на Единния механизъм за преструктуриране и Единния фонд за преструктуриране и за изменение на Регламент (ЕС) № 1093/2010 (ОВ L 225, 2014 г., стр. 1) (наричан по-нататък „Регламентът за ЕМП“).

11

Приемайки, че предвидените в член 18, параграф 1 от Регламента за ЕМП условия са спазени, ЕСП с това решение поставя Banco Popular Español SA (наричана по-нататък „Banco Popular“) в режим на преструктуриране. ЕСП съответно решава да обезцени и да преобразува капиталовите инструменти на Banco Popular съгласно член 21 от този регламент и да приложи инструмента за продажба на стопанска дейност съгласно член 24 от същия регламент посредством прехвърлянето на акциите на потенциален купувач.

12

Същия ден Европейската комисия приема Решение (ЕС) 2017/1246 за одобряване на схемата за преструктуриране на Banco Popular Español SA (ОВ L 178, 2017 г., стр. 15).

13

Вследствие на преструктурирането на Banco Popular ЕСП възлага на одитното и консултантско дружество Deloitte да извърши предвидената в член 20, параграфи 16—18 от Регламента за ЕМП оценка на разликата в третирането с цел да определи дали акционерите и кредиторите на Banco Popular биха получили по-добро третиране, ако по отношение на тази институция беше образувано обичайно производство по несъстоятелност (наричана по-нататък „оценка 3“). На 14 юни 2018 г. посоченото дружество изпраща на ЕСП тази оценка.

14

На 6 август 2018 г. ЕСП публикува на своя уебсайт съобщението от 2 август 2018 г. относно предварителното си решение дали трябва да бъде предоставено обезщетение на акционерите и кредиторите, които са засегнати от действията по преструктуриране на Banco Popular, и стартирането на процедурата на право на изслушване (SRB/EES/2018/132) (наричано по-нататък „предварителното решение“), както и неповерителен вариант на оценка 3. На 7 август 2018 г. в Официален вестник на Европейския съюз е публикувано уведомление във връзка с това съобщение (ОВ C 277 I, 2018 г., стр. 1).

15

В предварителното решение ЕСП посочва, че за да може да вземе окончателно решение дали трябва да им бъде предоставено обезщетение на основание член 76, параграф 1, буква д) от Регламента за ЕМП, акционерите и кредиторите, засегнати от преструктурирането на Banco Popular (наричани по-нататък „засегнатите акционери и кредитори“) следва да изразят интерес за упражняване на правото си на изслушване съгласно член 41, параграф 2, буква a) от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“).

16

Видно от предварителното решение, процедурата във връзка с правото на изслушване включва два етапа.

17

На първия етап (наричан по-нататък „етапът на регистрация“) засегнатите акционери и кредитори се приканват да изразят, в срок до 14 септември 2018 г. и с помощта на регистрационен онлайн формуляр, интерес за упражняване на правото си да бъдат изслушани. На този етап засегнатите акционери и кредитори, които желаят да упражнят правото си да бъдат изслушани, представят на ЕСП доказателства, че към датата на преструктурирането на Banco Popular са притежавали един или повече капиталови инструменти на тази институция, които в рамките на преструктурирането са били обезценени или преобразувани и прехвърлени на Banco Santander SA. Тези доказателствата включват документ за самоличност и документ за собственост на някой от въпросните капиталови инструменти към 6 юни 2017 г. По-нататък ЕСП проверява дали лицата, изразили интерес, действително имат статут на засегнат акционер или кредитор.

18

На 6 август 2018 г., началната дата на етапа на регистрация, на интернет страницата за регистрация за участие в процедурата във връзка с правото на изслушване и на своя уебсайт ЕСП публикува и декларация за поверителност при обработването на лични данни в тази процедура (наричана по-нататък „декларацията за поверителност“).

19

На втория етап (наричан по-нататък „етапът на консултация“) засегнатите акционери и кредитори, чийто статут е проверен от ЕСП, могат да представят своите коментари по предварителното решение, към което е приложена оценка 3. На 16 октомври 2018 г. ЕСП обявява на своя уебсайт, че от 6 ноември 2018 г. нататък засегнатите акционери и кредитори ще могат да представят по време на етапа на консултация своите писмени коментари по предварителното решение.

20

На 6 ноември 2018 г. по електронна поща ЕСП изпраща на засегнатите акционери и кредитори персонален линк, даващ им интернет достъп до формуляр, който се състои от седем въпроса с ограничено поле за отговор, позволяващи на засегнатите акционери и кредитори да представят преди 26 ноември 2018 г. коментари по предварителното решение и по неповерителния вариант на оценка 3.

21

ЕСП преглежда съответните коментари на засегнатите акционери и кредитори по предварителното решение. Той иска от Deloitte в качеството му на независим оценител да направи преценка на съответните коментари по оценка 3, да му представи документ, съдържащ тази преценка, и да провери дали оценка 3 остава валидна в светлината на тези коментари.

22

Данните, събрани на етапа на регистрация, а именно доказателствата за самоличността на засегнатите акционери и кредитори и за собствеността на обезценени или преобразувани и прехвърлени капиталови инструменти на Banco Popular, са били достъпни за ограничен брой членове на персонала на ЕСП, а именно тези, на които е било възложено обработването на въпросните данни с цел определяне дали посочените акционери и кредитори имат право на обезщетение.

23

Членовете на персонала на ЕСП, на които е възложено обработването на коментарите, получени на етапа на консултация, нямат достъп нито до данните, събрани на етапа на регистрация — така че тези коментари са отделени от личната информация за засегнатите акционери и кредитори, които са ги направили — нито до кода за данните или до информацията, позволяваща самоличността на съответния засегнат акционер или кредитор да се открие посредством уникалния буквено-цифров код, определен за всеки направен с формуляра коментар. Буквено-цифровият код се състои от универсален уникален 33-цифров идентификатор, генериран на случаен принцип в момента на получаване на отговорите, дадени във формуляра.

24

Като първа стъпка ЕСП извършва автоматично филтриране на 23822 коментара, всеки от които с уникален буквено-цифров код, представени от 2855 участници в процедурата. Чрез два алгоритъма са идентифицирани 20101 идентични коментара. Първият представен коментар съответно е приет за оригиналният и е разгледан на аналитичния етап, а получените по-късно идентични коментари са идентифицирани като дублиращи се.

25

Като втора стъпка ЕСП идентифицира тези от коментарите, които попадат в приложното поле на процедурата във връзка с правото на изслушване, тъй като могат да окажат влияние върху предварителното решение или върху оценка 3. След това той разделя коментарите на такива, които трябва да прегледа, тъй като се отнасят до предварителното решение, и такива, които Deloitte трябва да прегледа, понеже засягат оценка 3. В крайна сметка ЕСП идентифицира 3730 коментара, класирани според своята релевантност и тема.

26

Като трета стъпка коментарите по предварителното решение са обработени от ЕСП, а тези по оценка 3, които са 1104 на брой, са препратени на Deloitte на 17 юни 2019 г. посредством предназначен за ЕСП защитен виртуален сървър за данни. ЕСП качва на този сървър файловете, които следва да се изпратят на Deloitte, и дава достъп до тези файлове на ограничен и контролиран брой членове на персонала на Deloitte, а именно на пряко участващите в прегледа на коментарите по оценка 3.

27

Препратените на Deloitte коментари са филтрирани, категоризирани и обобщени. Когато са възпроизведени предходни коментари, на Deloitte е изпратен само един вариант, така че не е било възможно в рамките на една и съща тема да се разграничат дублиращите се индивидуални коментари и Deloitte не е имало как да знае дали даден коментар е формулиран от един, или няколко участници в процедурата във връзка с правото на изслушване.

28

На Deloitte са препратени само тези от коментарите, които са били получени на етапа на консултация и са с буквено-цифров код. Същевременно с помощта на този код единствено ЕСП е можел да свърже коментарите с получените на етапа на регистрация данни, и по-специално с идентификационните данни на авторите на коментарите. Буквено-цифровият код е разработен за одитни цели, за да може да се провери и евентуално да се докаже в съдебно производство, че всеки коментар е бил обработен и надлежно отчетен. Deloitte не е имало и преди, и към момента на постановяване на обжалваното съдебно решение достъп до базата данни, събрани на етапа на регистрация или в процедурата във връзка с правото на изслушване.

29

През октомври и декември 2019 г. засегнатите акционери и кредитори, отговорили на формуляра, подават до ЕНОЗД пет жалби на основание на Регламент 2018/1725. В тези жалби те твърдят нарушение на член 15, параграф 1, буква г) от Регламент 2018/1725, тъй като в разрез с предвиденото в декларацията за поверителност ЕСП не ги уведомил, че данните, събрани посредством дадените във формуляра отговори, ще бъдат предадени на трети лица, а именно Deloitte и Banco Santander.

30

На 24 юни 2020 г., в края на процедура, в хода на която ЕСП дава някои обяснения по искане на ЕНОЗД, а жалбоподателите представят становища, ЕНОЗД приема решение по пет жалби, подадени от няколко жалбоподатели срещу Единния съвет за преструктуриране (преписки 2019‑947, 2019‑998, 2019‑999, 2019‑1000 и 2019‑1122) (наричано по-нататък „първоначалното решение“). В него ЕНОЗД приема, че ЕСП е нарушил член 15 от Регламент 2018/1725 с това, че в декларацията за поверителност не е уведомил жалбоподателите за възможността личните им данни да бъдат съобщени на Deloitte. За това нарушение той съответно отправя на основание член 58, параграф 2, буква б) от този регламент официално предупреждение до ЕСП.

31

На 22 юли 2020 г. ЕСП иска от ЕНОЗД да преразгледа първоначалното решение на основание член 18, параграф 1 от Решението на Европейския надзорен орган по защита на данните от 15 май 2020 г. за приемане на Процедурен правилник на ЕНОЗД (ОВ L 204, 2020 г., стр. 49). По-конкретно, ЕСП дава подробно описание на процедурата във връзка с правото на изслушване и на анализа на коментарите, които четирима от идентифицираните жалбоподатели са представили на етапа на консултация. Той твърди, че предадената на Deloitte информация не представлява лични данни по смисъла на член 3, точка 1 от Регламент 2018/1725.

32

На 5 август 2020 г. ЕНОЗД уведомява ЕСП, че с оглед на представените нови доказателства е решил да преразгледа първоначалното решение, и че ще приеме решение, което да го замени.

33

На 24 ноември 2020 г., в края на процедурата по преразглеждане, в която жалбоподателите представят становища, а ЕСП дава допълнителна информация по искане на ЕНОЗД, последният приема спорното решение.

34

С това решение ЕНОЗД преразглежда първоначалното решение по следния начин:

35

С жалба, подадена в секретариата на Общия съд на 1 септември 2020 г., ЕСП иска, от една страна, отмяна на спорното решение и от друга страна, обявяване на първоначалното решение за незаконосъобразно.

36

В подкрепа на първото искане ЕСП изтъква две основания за отмяна, като първото е нарушение на член 3, точка 1 от Регламент 2018/1725, доколкото предадената на Deloitte информация не представлявала лични данни, а второто — нарушение на правото на добра администрация, закрепено в член 41 от Хартата.

37

С обжалваното съдебно решение второто искане, а именно първоначалното решение да бъде обявено за незаконосъобразно, е отхвърлено от Общият съд поради липса на компетентност с мотива, че ЕСП цели да постигне установително съдебно решение, а не отмяна на акт.

38

За сметка на това Общият съд обявява първото искане за допустимо. По същество пък приема, че първото основание за отмяна е налице, и отменя спорното решение, без да разглежда второто основание за отмяна.

39

С решение на председателя на Съда от 20 октомври 2023 г. Комисията е допусната да встъпи в подкрепа на исканията на ЕСП. С определение на председателя на Съда от 29 ноември 2023 г. Европейският комитет по защита на данните е допуснат да встъпи в подкрепа на исканията на ЕНОЗД.

40

ЕНОЗД, подкрепен от Европейския комитет по защита на данните, иска от Съда:

41

ЕСП, подкрепен от Комисията, иска от Съда:

42

ЕНОЗД, подкрепен от Европейския комитет по защита на данните, посочва две основания за обжалване, като първото е нарушение на член 3, точки 1 и 6 от Регламент 2018/1725, така както е тълкуван от Съда, а второто — нарушение на член 4, параграф 2 и член 26, параграф 1 от този регламент.

43

По първото основание за обжалване ЕНОЗД поддържа по същество, че приемайки за погрешен извода му в спорното решение, че процесната информация представлява лични данни, Общият съд неправилно е тълкувал член 3, точки 1 и 6 от Регламент 2018/1725. Това основание се състои от две части. Първата част се отнася до условието, предвидено в член 3, точка 1 от този регламент, информацията да „е свързана“ с физическо лице, а втората — до условието, предвидено в същата разпоредба, това лице да „може да бъде идентифицирано“.

44

По първата част на първото основание за обжалване ЕНОЗД твърди, че противно на приетото от Общия съд в точки 60—74 от обжалваното съдебно решение, предадената на Deloitte информация е свързана с физическо лице, по смисъла на член 3, точка 1 от Регламент 2018/1725.

45

На първо място, ЕНОЗД поддържа, че противно на това, което следва от точка 70 от обжалваното съдебно решение, органите по защита на данните не са длъжни във всички случаи да преценяват съдържанието, крайната цел или последиците на дадена информация, за да установят дали тя се отнася до физическо лице. ЕНОЗД смята, че такава преценка не може да се изисква по-специално по отношение на коментарите, препратени от ЕСП на Deloitte, тъй като според него е ясно, че тези коментари „са свързани с“ физическо лице, доколкото изразяват личната гледна точка на някои кредитори и акционери на Banco Popular относно евентуалното им право на обезщетение на основание член 76, параграф 1, буква д) от Регламента за ЕМП.

46

На второ място, противно на констатацията в точка 71 от обжалваното съдебно решение, ЕНОЗД поддържа, че за да заключи, че са налице лични данни, се е основал не само на естеството на препратените на Deloitte коментари, но и на обстоятелството, че буквено-цифровият код също е бил предаден на това дружество.

47

На трето място, ЕНОЗД твърди, че обжалваното съдебно решение страда от противоречие, тъй като Общият съд, от една страна, е отбелязал в точка 7 от него, че самата цел на препратените на Deloitte коментари е да се позволи на конкретни физически лица, а именно засегнатите акционери и кредитори, да упражнят правото си на изслушване, за да получат евентуално обезщетение на основание член 76, параграф 1, буква д) от Регламента за ЕМП. В противоречие с тази първа констатация Общият съд приел, от друга страна, в точка 73 от посоченото решение, че ЕНОЗД се е основал на презумпции, че всички препратени на Deloitte коментари представляват лични данни, без да докаже, че те се отнасят до физически лица.

48

ЕСП, подкрепен в това отношение от Комисията, смята, че тези доводи трябва да се отхвърлят.

49

На първо място, съгласно съдебната практика, установена с решения от 20 декември 2017 г., Nowak (C‑434/16, EU:C:2017:994, т. 34 и 35), и от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF (C‑487/21, EU:C:2023:369, т. 23 и 24), обективна или субективна информация под формата на становища или преценки би могла да представлява лични данни, при условие че „засяга“ съответното лице. Освен това съгласно тази съдебна практика дадена информация засяга физическо лице, което е идентифицирано или може да бъде идентифицирано, ако поради своето съдържание, крайна цел или последици е свързана с лице, което може да бъде идентифицирано. Така в точки 70—74 от обжалваното съдебно решение Общият съд правилно приел, че ЕНОЗД не се е съобразил с посочената съдебна практика, тъй като просто е посочил, че препратените на Deloitte коментари отразяват мненията или възгледите на засегнатите акционери и кредитори, без съответно да провери дали по своето съдържание, крайна цел или последици тези коментари са свързани с лице, което може да бъде идентифицирано.

50

На второ място, твърдението на ЕНОЗД, че крайната цел на посочените коментари по необходимост обуславя естеството им на личните данни, било ново фактическо твърдение, изложено за първи път пред Съда, и като такова било недопустимо. Така или иначе това твърдение било неотносимо, доколкото ЕНОЗД не разгледал този въпрос в спорното решение.

51

На трето място, що се отнася до твърдяната противоречивост на мотивите в точки 7 и 73 от обжалваното съдебно решение, ЕСП заявява, че описанието в точка 7 от това решение не съдържа никаква информация относно съдържанието, крайната цел или последиците на препратените на Deloitte коментари и следователно не противоречи на извода в точка 73 от същото.

52

Като начало следва да се отбележи, че определението на понятието „лични данни“ в член 3, точка 1 от Регламент 2018/1725 по същество е идентично с това в член 4, точка 1 от ОРЗД, което от своя страна по същество е идентично със съдържащото се в член 2, буква а) от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10). Следователно, за да се гарантира единно и последователно прилагане на правото на Съюза, е нужно да се осигури еднакво тълкуване на член 3, точка 1 от Регламент 2018/1725, на член 4, точка 1 от ОРЗД и на член 2, буква а) от Директива 95/46 (вж. в този смисъл решения от 7 март 2024 г., OC/Комисия, C‑479/22 P, EU:C:2024:215, т. 43, и от 7 март 2024 г., IAB Europe, C‑604/22, EU:C:2024:214, т. 33 и цитираната съдебна практика).

53

Член 3, точка 1 от Регламент 2018/1725 гласи, че лични данни са „всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано“.

54

Съдът е приел, че употребата на израза „всяка информация“ в определението на понятието „лични данни“ в тази разпоредба и в член 4, точка 1 от ОРЗД отразява целта на законодателя на Съюза да придаде широк смисъл на това понятие, което потенциално обхваща всякакъв вид информация, както обективна, така и субективна, под формата на становища или преценки, при условие че тя „засяга“ съответното лице (решения от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 23 и цитираната съдебна практика, от 7 март 2024 г., OC/Комисия, C‑479/22 P, EU:C:2024:215, т. 45, и от 4 октомври 2024 г., Агенция по вписванията,C‑200/23, EU:C:2024:827, т. 130).

55

Дадена информация засяга физическо лице, което е идентифицирано или може да бъде идентифицирано, ако поради своето съдържание, крайна цел или последици е свързана с лице, което може да бъде идентифицирано (решения от 20 декември 2017 г., Nowak, C‑434/16, EU:C:2017:994, т. 35, от 7 март 2024 г., OC/Комисия, C‑479/22 P, EU:C:2024:215, т. 45, и от 7 март 2024 г., IAB Europe, C‑604/22, EU:C:2024:214, т. 37 и цитираната съдебна практика).

56

В случая, макар в точка 70 от обжалваното съдебно решение Общият съд да е отбелязал, че ЕНОЗД не е преценил нито съдържанието, нито крайната цел, нито последиците на информацията, съдържаща се в препратените на Deloitte коментари, от точки 71 и 72 от това решение все пак следва, че за да е констатирал, че тези коментари отразяват мненията или възгледи на субектите на данните, ЕНОЗД преди това е трябвало да провери съдържанието на въпросните коментари. Въз основа на тази констатация ЕНОЗД е стигнал до извода, че те представляват информация относно тези лица. Съгласно припомнената в точка 55 от настоящото решение съдебна практика проверката на съдържанието на дадена информация не трябва непременно да е допълнена с анализ на крайната цел и последиците на тази информация, както личи от употребата на съюза „или“, свързващ отделните критерии, посочени в тази съдебна практика.

57

В точки 73 и 74 от обжалваното съдебно решение обаче Общият съд е приел, че ЕНОЗД не може да квалифицира информацията, съдържаща се в препратените на Deloitte коментари, като лични данни само въз основа на констатацията, че става въпрос за лични мнения или възгледи, а е трябвало да прецени освен това съдържанието, крайната цел и последиците на така изразените мнения, за да определи дали те са свързани с определено лице.

58

Този извод на Общия съд е в разрез с особеното естество на личните мнения или възгледи, които като израз на мисълта на дадено лице по необходимост са тясно свързани с него.

59

Възприетото в предходната точка тълкуване се потвърждава от съдебната практика, установена с решение от 20 декември 2017 г., Nowak (C‑434/16, EU:C:2017:994), което се отнася по-специално до коментарите, които проверител е направил по писмените отговори, дадени от кандидат по време на изпит за професионални умения. Всъщност в точки 42—44 от това решение, макар да е преценил съдържанието, крайната цел и последиците на тези коментари, за да установи, че те представляват информация относно визирания с тях кандидат, Съдът по същество е приел, че тези коментари са свързани и с проверителя, който е техен автор, тъй като изразяват неговото становище или преценка.

60

Следователно Общият съд е допуснал грешка при прилагане на правото, приемайки в точки 73 и 74 от обжалваното съдебно решение, че за да заключи, че информацията, съдържаща се в препратените на Deloitte коментари, „е свързана“ по смисъла на член 3, точка 1 от Регламент 2018/1725 с лицата, направили тези коментари, ЕНОЗД е трябвало да прецени съдържанието, крайната цел или последиците на въпросните коментари, след като е безспорно, че те изразяват личното мнение или възглед на авторите си.

61

Следователно, без да е необходимо да се разглеждат доводите, обобщени в точки 46 и 47 от настоящото решение, трябва да се приеме, че в първата си част първото основание за обжалване е налице.

62

По втората част на първото основание за обжалване ЕНОЗД твърди, че в точки 76—106 от обжалваното съдебно решение Общият съд неправилно е приел, че няма как да се смята, че информацията, съдържаща се в препратените на Deloitte коментари, е свързана с физическо лице, „което може да бъде идентифицирано“ по смисъла на член 3, точка 1 от Регламент 2018/1725. Тази част се състои от две отделни оплаквания.

63

Най-напред ЕНОЗД припомня, че съгласно член 3, точка 1 от Регламент 2018/1725 администраторът или „друго лице“ трябва да е в състояние да идентифицира лицето, до което се отнася съответната информация. При липсата на указание относно лицето, което трябва да е в състояние да извърши тази идентификация, било достатъчно субектът на данните да може да бъде идентифициран. В случая не било спорно, че препратените на Deloitte коментари, с които е разполагало ЕСП, представляват лични данни. Освен това от член 3, точка 6 във връзка със съображение 16 от този регламент следвало, че псевдонимизираните данни представляват лични данни само поради наличието на допълнителна информация, позволяваща те да се свържат с определено лице.

64

Според ЕНОЗД съображенията в точки 90 и 91 от обжалваното съдебно решение не отчитат в достатъчна степен текста на тези разпоредби, както и разликата между анонимизация и псевдонимизация. В това отношение Европейският комитет по защита на данните уточнява, че съгласно възприетото от Общия съд тълкуване личните данните престават да бъдат такива, когато са предадени на външна за администратора структура, която не разполага с допълнителна информация, позволяваща идентифицирането на субекта на данните. Това тълкуване би позволило на такъв администратор да изключи без основание личните данни от приложното поле на правото на Съюза в областта на защитата на такива данни, включително когато обработването от външната структура би изложило субектите на данните на значителни рискове.

65

По-нататък ЕНОЗД отбелязва, че при въвеждането на понятието „псевдонимизация“ законодателят на Съюза е изяснил, че за да се изключат личните данни от приложното поле на правото на Съюза в областта на защитата на такива данни, не е достатъчно тези данни да бъдат отделени от допълнителната информация, позволяваща идентифицирането на субекта на данните.

66

Накрая ЕНОЗД припомня, че понятието „лични данни“ трябва да се тълкува широко, което според него е необходимо, за да може правото в областта на защитата на данните да породи полезното си действие. Доколкото би позволило погрешно да се приеме, че псевдонимизираните данни са анонимни, тълкуването на Общия съд би могло да застраши търсеното от законодателя на Съюза и изисквано от Хартата високо ниво на защита. Според Европейския комитет по защита на данните възприетото от Общия съд тълкуване криело и риск псевдонимизираните данни да бъдат обработвани без ограничения съгласно ОРЗД и Регламент 2018/1725, включително да бъдат споделяни, публикувани и предавани на трети държави.

67

ЕСП, подкрепен от Комисията, оспорва тези доводи.

68

Първото оплакване от втората част на първото основание за обжалване по същество се основава на съображението, че псевдонимизирани данни като препратените на Deloitte коментари при всички случаи представляват лични данни само поради наличието на информация, позволяваща идентифицирането на субекта на данните, без да е необходимо да се проверява конкретно дали въпреки псевдонимизацията лицето, с което са свързани тези данни, може да бъде идентифицирано.

69

В това отношение следва да се припомни, че съгласно самия текст на член 3, точка 1 от Регламент 2018/1725, за да бъде квалифицирана като лични данни по смисъла на тази разпоредба, дадена информация трябва да е свързана с физическо лице, което е „идентифицирано“ или „може да бъде идентифицирано“. В този смисъл прилагането на посочения регламент по принцип предполага проверка дали субектът на данните е идентифициран или може да бъде идентифициран чрез съответната информация.

70

Това тълкуване се потвърждава от петото и шестото изречение на съображение 16 от Регламент 2018/1725, съгласно които определението на понятието „лични данни“ не обхваща нито „анонимна информация, а именно информация, която не е свързана с идентифицирано или подлежащо на идентифициране физическо лице“, нито „лични данни, които са анонимизирани по такъв начин, че субектът на данните вече не може да бъде идентифициран“ (вж. по аналогия решение от 5 декември 2023 г., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, т. 57).

71

Що се отнася по-специално до псевдонимизираните данни, следва да се отбележи, на първо място, че тези данни не са споменати в легалното определение на понятието „лични данни“ в член 3, точка 1 от Регламент 2018/1725, но че техните характеристики личат от член 3, точка 6 от този регламент. Съгласно последната разпоредба понятието „псевдонимизация“ означава „обработването на лични данни по такъв начин, че личните данни да не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано“.

72

Както генералният адвокат по същество отбелязва в точки 46 и 48 от заключението си, псевдонимизацията следователно не е елемент от определението за лични данни, а има отношение към въвеждането на технически и организационни мерки за намаляване на риска от свързване на набор от данни със самоличността на субектите на данните. Съгласно съображение 17 от посочения регламент псевдонимизацията „може [само] да намали рисковете“ за съответните субекти на данни от такова свързване и „да помогне на администраторите и на обработващите лични данни да изпълняват своите задължения за защита на данните“.

73

На второ място, от текста на член 3, точка 6 от Регламент 2018/1725 е видно, че понятието „псевдонимизация“ предполага наличието на информация, позволяваща идентифицирането на субекта на данните. Самото наличие на такава информация е пречка данни, които са били подложени на псевдонимизация, да могат във всички случаи да се смятат за анонимни данни, изключени от приложното поле на този регламент.

74

Това не променя факта, че на трето място, предвиденото в член 3, точка 6 от този регламент изискване за отделно съхраняване на идентификационната информация и за технически и организационни мерки „с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано“, показва, че целта на псевдонимизацията е по-специално да се избегне възможността субектът на данните да бъде идентифициран само с псевдонимизираните данни.

75

Всъщност, стига такива технически и организационни мерки да са действително въведени и да са годни да предотвратят свързването на съответните данни със субекта на данните, така че той да не може или вече да не може да бъде идентифициран, псевдонимизацията може да има отражение върху личния характер на тези данни по смисъла на член 3, точка 1 от Регламент 2018/1725.

76

В това отношение следва да се уточни, че в случая ЕСП разполага — нещо обичайно за извършилия псевдонимизацията администратор — с допълнителна информация, позволяваща препратените на Deloitte коментари да се свържат със субекта на данните, така че за ЕСП тези коментари, въпреки псевдонимизацията, запазват личния си характер.

77

Що се отнася до Deloitte, на което ЕСП е изпратил псевдонимизирани коментари, визираните член 3, точка 6 от Регламент 2018/1725 технически и организационни мерки могат, както по същество поддържа ЕСП, да доведат до това за въпросното дружество тези коментари да нямат личен характер. Това обаче предполага, от една страна, Deloitte да не е в състояние да заобикаля тези мерки при извършваното под негов контрол обработване на посочените коментари. От друга страна, посочените мерки трябва действително да могат да попречат на Deloitte да свърже въпросните коментари със субекта на данните и чрез използването на други идентификационни средства, като например съпоставяне с други данни, и съответно, що се отнася до това дружество, субектът на данните да не може или вече не може да бъде идентифициран.

78

Това тълкуване се потвърждава от съображение 16 от Регламент 2018/1725, което в първото си изречение гласи, че „[п]ринципите за защита на данните следва да се прилагат по отношение на всяка информация, отнасяща се до физическо лице, което е идентифицирано или може да бъде идентифицирано“, а след това във второто — че „[л]ичните данни, които са били подложени на псевдонимизация, които могат да бъдат свързани с дадено физическо лице чрез използването на допълнителна информация, следва да се считат за информация, отнасяща се до физическо лице, което може да бъде идентифицирано“.

79

Всъщност след тези указания относно личните и псевдонимизираните данни третото изречение от това съображение уточнява, че за да се определи дали дадено физическо лице може да бъде идентифицирано, следва да се вземат предвид „всички средства […], с които е най-вероятно“ да си послужи администраторът или „друго лице“, за да идентифицира „пряко или непряко“ физическото лице. Освен това четвъртото изречение от това съображение гласи, че за да се уточни дали има разумна вероятност дадени средства да бъдат използвани за идентифициране на физическото лице, следва да се вземат предвид „всички обективни фактори, като например разходите и времето, необходими за идентифицирането, като се отчитат както наличните към момента на обработване на данните технологии, така и тяхното развитие“.

80

Както по същество отбелязва генералният адвокат в точка 51 от заключението си, тези уточнения относно преценката дали субектът на данните може или не може да бъде идентифициран, биха били лишени от всякакво полезно действие, ако псевдонимизираните данни трябва във всички случаи и за всяко лице да се считат за лични данни за целите на прилагането на Регламент 2018/1725.

81

В това отношение следва да се припомни, че що се отнася до едно прессъобщение, което без да посочва поименно дадено лице, съдържа известен брой сведения за него, в решението си от 7 март 2024 г., OC/Комисия (C‑479/22 P, EU:C:2024:215, т. 52—64), Съдът не просто констатира, че органът на Съюза, публикувал това прессъобщение, е разполагал с цялата информация, позволяваща идентифицирането на това лице, а проверява дали поради съдържащите се в прессъобщението сведения има разумна вероятност съответната общественост да идентифицира лицето, комбинирайки по-специално тези сведения с наличната в интернет информация.

82

Освен това Съдът вече е постановил, че няма разумна вероятност дадено средство да бъде използвано за идентифициране на субекта на данни, когато рискът от идентифициране в действителност изглежда незначителен, тъй като идентифицирането на това лице е забранено от закона или фактически непостижимо, например поради факта, че би означавало несъразмерно усилие от гледна точка на време, разходи и труд (вж. в този смисъл решение от 7 март 2024 г., OC/Комисия,C‑479/22 P, EU:C:2024:215, EU:C:2024:215, т. 51 и цитираната съдебна практика). Тази съдебна практика потвърждава тълкуването, че наличието на допълнителна информация, позволяваща идентифицирането на субекта на данните, само по себе си не означава, че псевдонимизираните данни трябва да се считат, във всички случаи и за всяко лице, за лични данни за целите на прилагането на Регламент 2018/1725.

83

В същия ред на мисли Съдът по същество е постановил, по-специално в решения от 19 октомври 2016 г., Breyer (C‑582/14, EU:C:2016:779, т. 44, 47 и 48), и от 7 март 2024 г., IAB Europe (C‑604/22, EU:C:2024:214, т. 43 и 48), че сами по себе си нелични данни, събирани и съхранявани от администратора, все пак са свързани с лице, което може да бъде идентифицирано, щом като администраторът има законови пътища, за да получи от другиго допълнителната информация, позволяваща идентифицирането на това лице. Всъщност при това положение обстоятелството, че информацията, позволяваща идентифицирането на субекта на данните, е била в ръцете на други лица, не е истинска пречка за идентифицирането му, която да препятства идентифицирането му от администратора.

84

Преди всичко, съгласно съдебната практика, установена с решение от 9 ноември 2023 г., Gesamtverband Autoteile-Handel (Достъп до информация за превозните средства) (C‑319/22, EU:C:2023:837, т. 46 и 49), данни, които сами по себе си не са лични, могат да придобият „личен“ характер, когато администраторът дава достъп до тях на други лица, разполагащи със средства, които разумно погледнато могат да позволят идентифицирането на субекта на данните. От последното решение в частност следва, че при наличието на такъв достъп въпросните данни имат личен характер както за тези лица, така и косвено за администратора.

85

Следователно с оглед на припомнената в предходната точка съдебна практика ЕНОЗД неправилно поддържа, че обстоятелството, че псевдонимизираните данни нямат евентуално личен характер за лицата, на които администраторът ги предава, позволява тези данни без основание да се изключат от приложното поле на правото на Съюза в областта на защитата на личните данни. Всъщност съгласно тази съдебна практика посоченото обстоятелство е без значение за преценката дали същите тези данни са лични по-специално в контекста на евентуалното им последващо предаване на трети лица. Затова, доколкото не е изключено тези трети лица, разумно погледнато, да могат чрез средства като съпоставяне с притежавани от тях други данни, да свържат псевдонимизираните данни със субекта на данните, същият трябва да се смята за идентифицируем както по отношение на предаването на тези данни, така и по отношение на всяко тяхно по-нататъшно обработване от въпросните трети лица. При такива обстоятелства псевдонимизираните данни би трябвало да се считат за лични данни.

86

От това следва, че противно на поддържаното от ЕНОЗД, псевдонимизираните данни не трябва да се считат за представляващи, във всички случаи и за всяко лице, лични данни за целите на прилагането на Регламент 2018/1725, доколкото в зависимост от обстоятелствата по случая псевдонимизацията действително може да попречи на лица, различни от администратора, да идентифицират субекта на данните и съответно за тях този субект да не може или вече да не може да бъде идентифициран.

87

Това тълкуване не се поставя под въпрос от изтъкнатото от ЕНОЗД обстоятелство, че съображение 16, четвърто изречение от Регламент 2018/1725 визира администратора или „друго лице“. Всъщност от самия текст на това изречение, припомнен в точка 79 от настоящото решение, е видно, че то се отнася само до лицата, които разполагат или имат достъп до средствата, за които има разумна вероятност да бъдат използвани за идентифициране на субекта на данните. Както бе посочено в точки 75—77 от настоящото решение, в зависимост от обстоятелствата по случая псевдонимизацията действително може да попречи на лица, различни от администратора, да идентифицират субекта на данните и съответно за тях този субект да не може или вече да не може да бъде идентифициран.

88

Що се отнася до довода на ЕНОЗД, изведен от целта да се гарантира високо ниво на защита на личните данни, следва да се посочи, че макар текстът на член 3, точка 1 от Регламент 2018/1725 да отразява целта на законодателя на Съюза да придаде широк смисъл на понятието „лични данни“, това понятие не е неограничено, тъй като тази разпоредба изисква по-специално субектът на данните да е идентифициран или да може да бъде идентифициран.

89

По-специално, както отбелязва генералният адвокат в точка 58 от заключението си, Регламент 2018/1725 съдържа задължения като предвиденото в член 15 от този регламент задължение за предоставяне на информация на субекта на данните, чието спазване предполага този субект да бъде идентифициран. Такива задължения не могат да бъдат наложени на структура, която по никакъв начин не е в състояние да извърши тази идентификация.

90

Ето защо първото оплакване от втората част на първото основание за обжалване трябва да бъде отхвърлено като несъстоятелно.

91

По второто оплакване от втората част на първото основание за обжалване ЕНОЗД твърди, че Общият съд не се е съобразил със съдебната практика, установена с решение от 19 октомври 2016 г., Breyer (C‑582/14, EU:C:2016:779).

92

На първо място, Общият съд не взел предвид обективния характер на условието субектът на данните „да може да бъде идентифициран“, приемайки в точки 97, 99 и 100 от обжалваното съдебно решение по-специално, че ЕНОЗД е трябвало да прецени дали препратените на Deloitte коментари представляват лични данни от гледна точка на това дружество. Всъщност според ЕНОЗД от точки 47 и 48 от решение от 19 октомври 2016 г., Breyer (C‑582/14, EU:C:2016:779), следва, че самото съществуване на законови пътища за идентифициране на субекта на данните е достатъчно, за да се заключи, че той може да бъде идентифициран. В случая ЕСП бил в състояние да идентифицира субектите на данните — обстоятелство, което Общият съд не отчел в достатъчна степен при прилагането на съдебната практика, установена с това решение.

93

На второ място, ЕНОЗД поддържа, че в цитираното решение въпросът дали субектът на данните може да бъде идентифициран или не, е бил преценен от гледна точка на администратора, и то при липсата на каквито и да било отношения между този администратор и структурите, разполагащи с допълнителната информация, позволяваща идентифицирането на този субект. В случая обаче Deloitte не било администраторът и освен това било обвързано от договор с ЕСП. Предвид тези разлики ЕНОЗД счита, че не е бил длъжен да извърши пълна оценка на средствата, които, разумно погледнато, вероятно биха позволили на Deloitte да идентифицира субектите на данните.

94

Във всеки случай, ако все пак е бил длъжен да прецени дали Deloitte е било в състояние да идентифицира авторите на препратените му коментари, ЕНОЗД поддържа, че за Deloitte не е имало никаква пречка да ги идентифицира.

95

ЕСП, подкрепен от Комисията, оспорва тези доводи.

96

На първо място, в точки 96, 97 и 100 от обжалваното съдебно решение Общият съд правилно се основал на подход, при който възможността за идентифициране на субекта на данни трябва да се преценява по отношение на всяко лице и всеки съответен администратор, който обработва релевантната информация. В контекста на предвиденото в член 15, параграф 1, буква г) от Регламент 2018/1725 задължение за предоставяне на информация тази преценка трябвало да се извърши от гледна точка на получателя на съответната информация.

97

На второ място, ЕСП поддържа, че са недопустими доводите, изведени от твърдените разлики между настоящото дело и делото, по което е постановено решение от 19 октомври 2016 г., Breyer (C‑582/14, EU:C:2016:779). Той смята, че тези доводи поставят под въпрос фактическите констатации на Общия съд в точки 94 и 95 от обжалваното съдебно решение, че Deloitte не е имало достъп до идентификационната информация, необходима за идентифицирането на жалбоподателите.

98

В точки 97—100 от обжалваното съдебно решение Общият съд по-специално е приел по същество, че в съответствие със съдебната практика, установена с решение от 19 октомври 2016 г., Breyer (C‑582/14, EU:C:2016:779), ЕНОЗД е трябвало да провери дали препратените на Deloitte коментари представляват, от гледна точка на същото, лични данни. За да стигне до този извод, Общият съд по-специално е отбелязал, че констатираното в спорното решение нарушение на член 15, параграф 1, буква г) от Регламент 2018/1725 се отнася до предаването от ЕСП на Deloitte на тези коментари, а не само до държането на същите от ЕСП.

99

Като начало следва да се припомни, че член 3, точка 1 от Регламент 2018/1725 не уточнява изрично от чия перспектива следва да се преценява дали субектът на данните може да бъде идентифициран, докато съображение 16 от този регламент сочи без разлика „администратора или „друго лице“. Освен това съгласно постоянната съдебна практика, за да могат определени данни да се считат за „лични данни“, не се изисква цялата информация, която позволява идентифицирането на субекта на данните, да се намира в ръцете на едно-единствено лице (вж. в този смисъл решения от 19 октомври 2016 г., Breyer, C‑582/14, EU:C:2016:779, т. 43, и от 7 март 2024 г., OC/Комисия, C‑479/22 P, EU:C:2024:215, т. 48).

100

Съгласно съдебната практика, установена по-специално с решение от 19 октомври 2016 г., Breyer (C‑582/14, EU:C:2016:779), и припомнена в точки 81—84 от настоящото решение, перспективата, от която следва да се преценява дали субектът на данните може да бъде идентифициран, зависи основно от обстоятелствата, характеризиращи обработването на данните във всеки отделен случай.

101

В случая следва да се припомни, че в спорното решение ЕНОЗД констатира, че ЕСП не е изпълнил произтичащото от член 15, параграф 1, буква г) от Регламент 2018/1725 задължение за предоставяне на информация, тъй като в декларацията за поверителност, представена към момента на събирането на коментарите, не е посочил Deloitte като техен потенциален получател.

102

Член 15, параграф 1 от този регламент определя информацията, която администраторът предоставя на субекта на данните, когато от същия се събират лични данни, като същевременно уточнява, че тази информация се предоставя на субекта на данните „в момента на получаване на личните данни“. От самия текст на тази разпоредба личи, че информацията трябва да бъде предоставена от администратора незабавно, а именно в момента на събирането на данните (вж. по аналогия решение от 29 юли 2019 г., Fashion ID,С‑40/17, EU:C:2019:629, т. 104 и цитираната съдебна практика).

103

Що се отнася по-конкретно до информацията относно евентуалните получатели на личните данни, посочена в член 15, параграф 1, буква г) от същия регламент, става въпрос за информация, която наред с останалата информация се предоставя при събирането на данните от субекта на данните.

104

Член 14, параграф 1 от Регламент 2018/1725 предвижда, че администраторът предприема необходимите мерки, за да гарантира по-специално, че посочената в член 15 от този регламент информация се предоставя на субекта на данните в кратка, прозрачна, разбираема и леснодостъпна форма и че е формулирана на ясен и прост език, така че субектът на данните да е в състояние напълно да разбере дадената му информация (вж. по аналогия решения от 4 май 2023 г., Österreichische Datenschutzbehörde и CRIF, C‑487/21, EU:C:2023:369, т. 38, и от 11 юли 2024 г., Meta Platforms Ireland (Представителен иск),C‑757/22, EU:C:2024:598, т. 55 и 56).

105

Значението на спазването на такова задължение за предоставяне на информация се потвърждава от съображение 35 от Регламент 2018/1725, в първо и второ изречение от което се посочва, че принципите на добросъвестно и прозрачно обработване изискват субектът на данни да бъде информиран за съществуването на операция по обработване и за нейните цели, и се подчертава, че администраторът следва да предостави на субекта на данните всяка допълнителна информация, която е необходима, за да се гарантира добросъвестно и прозрачно обработване на данните, като се вземат предвид конкретните обстоятелства и контекстът, в които се обработват личните данни, както е предвидено в член 15, параграф 2 от този регламент (вж. по аналогия решение от 11 юли 2024 г., Meta Platforms Ireland (Представителен иск),C‑757/22, EU:C:2024:598, т. 57 и цитираната съдебна практика).

106

Така, когато събирането на такива данни от субекта на данните се основава — както в случая в рамките на процедурата във връзка с правото на изслушване — на съгласието на този субект, валидността на даденото от него съгласие зависи по-специално от това дали той е получил предварително информацията относно всички обстоятелства, свързани с обработването на въпросните данни, която е имал право да получи съгласно член 15 от Регламент 2018/1725 и която му дава възможност да даде напълно информирано съгласие (вж. по аналогия решение от 11 юли 2024 г., Meta Platforms Ireland (Представителен иск),C‑757/22, EU:C:2024:598, т. 60).

107

Освен това, що се отнася до хипотезата, в която е налице задължение на субекта на данните да предостави лични данни на администратора, в съображение 35, четвърто изречение от този регламент се уточнява, че субектът на данните следва да бъде информиран за това дали е задължен да предостави такива данни и за последствията, в случай че не ги предостави, което потвърждава значението на информацията, изисквана съгласно член 15 от посочения регламент, в самия момент на събиране на данните от субекта на данните.

108

При това положение е ясно, че изискването на субекта на данните да се предоставя — в момента на събирането на свързаните с него лични данни — информацията относно евентуалните получатели на тези данни, е именно с цел той да може да направи напълно информиран избор дали да предостави, или напротив, да откаже да предостави събраните от него лични данни.

109

Следва да се добави, както по същество поддържа Комисията в съдебното заседание, че информацията относно евентуалните получатели е несъмнено абсолютно необходима и за да може субектът на данните впоследствие да защити правата си срещу тези получатели. Задължението за предоставяне на тази информация в момента на събирането на личните данни обаче гарантира по-специално че администраторът не събира, още по-малко предава на трети лица, тези данни против волята на субекта на данните.

110

От това следва, че както отбелязва генералният адвокат в точка 69 от заключението си, предвиденото в член 15, параграф 1, буква г) от Регламент 2018/1725 задължение за предоставяне на информация се вписва в съществуващото правоотношение между субекта на данните и администратора и поради това има за предмет информацията, свързана с този субект, такава каквато е била предадена на този администратор, тоест преди евентуалното ѝ предаване на трето лице.

111

Ето защо следва да се приеме, че за целите на прилагането на предвиденото в член 15, параграф 1, буква г) от Регламент 2018/1725 задължение за предоставяне на информация въпросът дали субектът на данните може да бъде идентифициран, трябва да се преценява към момента на събирането на данните и от гледна точка на администратора.

112

Следователно, както отбелязва по същество генералният адвокат в точка 79 от заключението си, в случая ЕСП е бил длъжен да предостави информация преди предаването на процесните коментари и независимо дали от гледна точка на Deloitte, след евентуалната им псевдонимизация, те са лични или не.

113

Не поставя под въпрос това тълкуване доводът на ЕСП, изведен от текста на член 15, параграф 1, буква г) от Регламент 2018/1725, в който се говори за „получателите […] на личните данни“. Всъщност, както следва от точки 102—108 от настоящото решение, тази разпоредба урежда задължението на администратора да предостави информация към момента на събирането на такива данни. Въпросът дали администраторът е изпълнил към този момент задължението си за предоставяне на информация не може да зависи от потенциалните възможности за идентифициране на субекта на данните, с които би разполагал евентуалният получател на същите след последващото им предаване.

114

Както отбелязва по същество генералният адвокат в точка 77 от заключението си, доводът на ЕСП, че при проверката спазено ли е това задължение за предоставяне на информация следва да се изхожда от гледната точка на получателя, означава отлагане на тази проверка във времето. Доколкото въпросната проверка неминуемо се отнася до лични данни, които вече са предадени на получателя, този довод е в разрез и с предмета на задължението за предоставяне на информация, който е неразривно свързан с отношенията между администратора и субекта на данните.

115

Следователно Общият съд е допуснал грешка при прилагане на правото, приемайки в точки 97, 98, 100, 101 и 103—105 от обжалваното съдебно решение, че за да прецени дали ЕСП е изпълнил задължението си за предоставяне на информация по член 15, параграф 1, буква г) от Регламент 2018/1725, ЕНОЗД е трябвало да провери дали препратените на Deloitte коментари представляват от гледна точка на същото лични данни.

116

Ето защо, без да е необходимо да се разглеждат доводите на ЕНОЗД, обобщени в точки 93 и 94 от настоящото решение, второто оплакване от втората част на първото основание за обжалване трябва да се приеме за състоятелно.

117

Тъй като в първата си част, а що се отнася до второто оплакване — и във втората си част, първото основание за обжалване е налице, второто основание за обжалване на ЕНОЗД, а именно нарушение на член 4, параграф 2 и на член 26, параграф 1 от Регламент 2018/1725, не следва да се разглежда.

118

Тъй като първото основание за обжалване съответно е налице, обжалваното съдебно решение следва да бъде отменено.

119

Съгласно член 61, първа алинея, второ изречение от Статута на Съда на Европейския съюз Съдът може, в случай че отмени акта на Общия съд, да постанови окончателно решение по делото, когато фазата на производството позволява това.

120

В случая фазата на производството позволява да се постанови окончателно решение по делото, що се отнася до първото основание за отмяна, по което се твърди нарушение от страна на ЕНОЗД на член 3, точка 1 от Регламент 2018/1725, поради това че предадената на Deloitte информация не представлява лични данни. Всъщност с оглед на изложените в точки 58—60 от настоящото решение съображения ЕНОЗД, от една страна, не е допуснал грешка при прилагане на правото, приемайки, че препратените на Deloitte коментари представляват информация, свързана с физически лица, а именно авторите на тези коментари. От друга страна, както бе отбелязано в точка 111 от това решение, при прилагането на задължението за предоставяне на информация по член 15, параграф 1, буква г) от този регламент възможността за идентифициране на субекта на данните трябва да се преценява от гледна точка на администратора. Страните не спорят, че в качеството си на администратор ЕСП е разполагал с цялата необходима информация, за да идентифицира авторите на въпросните коментари. От горното следва, че противно на поддържаното от ЕСП, спорната информация представлява лични данни. Поради това трябва да се приеме, че първото основание за отмяна не е налице.

121

Фазата на производството обаче не позволява да се постанови окончателно решение по делото, що се отнася до второто основание за отмяна, тъй като то предполага фактически изводи, които не са били направени от Общия съд.

122

Делото съответно следва да бъде върнато на Общия съд за разглеждане на второто основание за отмяна.

123

Тъй като делото трябва да се върне на Общия съд за ново разглеждане, Съдът не следва да се произнася по съдебните разноски, направени в настоящото производство по обжалване.

По изложените съображения Съдът (първи състав) реши: