1.

Kasačním opravným prostředkem se Evropský inspektor ochrany údajů (EIOÚ) domáhá zrušení rozsudku Tribunálu Evropské unie ze dne 26. dubna 2023, SRB v. EIOÚ (T‑557/20, dále jen napadený rozsudek, EU:T:2023:219), kterým Tribunál zrušil revidované rozhodnutí EIOÚ ze dne 24. listopadu 2020 (dále jen „sporné rozhodnutí“), které se týkalo pěti stížností podaných akcionáři a věřiteli dotčenými řešením krize banky Banco Popular Español SA (dále jen „Banco Popular“), kteří si stěžovali, že nebyli informováni o předání svých osobních údajů.

2.

Projednávaná věc poskytuje Soudnímu dvoru příležitost upřesnit v kontextu pseudonymizovaných údajů pojem „osobní údaje“ a povinnosti, které z něj vyplývají za účelem splnění povinností korektního a transparentního zpracování údajů.

3.

Hlavní ustanovení nařízení (EU) 2018/1725 ( 2 ), která jsou relevantní pro projednávaný kasační opravný prostředek, jsou následující.

4.

Body 16 a 17 odůvodnění tohoto nařízení znějí následovně:

5.

Článek 3 uvedeného nařízení, nadepsaný „Definice“, v bodech 1 a 6 stanoví:

„Pro účely tohoto nařízení se rozumí:

[…]

6.

Článek 4 téhož nařízení, nadepsaný „Zásady zpracování osobních údajů“, v odst. 1 písm. a) a odst. 2 stanoví:

„1.   Osobní údaje musí být:

[…]

2.   Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

7.

Článek 15 nařízení 2018/1725, nadepsaný „Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů“, v odst. 1 písm. d) stanoví:

„Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:

[…]

8.

Dne 7. června 2017 přijal Jednotný výbor pro řešení krizí (SRB) program řešení krize týkající se Banco Popular podle nařízení Evropského parlamentu a Rady (EU) č. 806/2014 ze dne 15. července 2014, kterým se stanoví jednotná pravidla a jednotný postup pro řešení krize úvěrových institucí a některých investičních podniků v rámci jednotného mechanismu pro řešení krizí a Jednotného fondu pro řešení krizí a mění nařízení (EU) č. 1093/2010 ( 3 ), který byl téhož dne schválen rozhodnutím Evropské komise ( 4 ), což konkrétně znamená, že kapitálové nástroje banky byly odepsány nebo konvertovány a postoupeny prostřednictvím převodu akcií.

9.

V souladu s čl. 20 odst. 16 až 18 nařízení č. 806/2014 pověřil SRB společnost Deloitte jakožto „nezávislou osobu ( 5 )“, aby provedla ocenění rozdílu v zacházení s cílem určit, zda by se akcionářům a věřitelům, kteří byli dotčeni opatřením k řešení krize, dostalo lepšího zacházení, pokud by tato instituce vstoupila do běžného úpadkového řízení.

10.

Dne 14. června 2018 předala společnost Deloitte SRB toto ocenění v rozdílu zacházení (dále jen „ocenění 3“). V předběžném rozhodnutí SRB uvedl, že k tomu, aby mohl přijmout konečné rozhodnutí o tom, zda je či není třeba poskytnout akcionářům a věřitelům dotčeným řešením krize společnosti Banco Popular odškodnění podle čl. 76 odst. 1 písm. e) nařízení č. 806/2014, zahájil řízení týkající se práva být vyslechnut, které zahrnovalo první fázi registrace, jejímž cílem bylo ověřit způsobilost stran, které projevily zájem, a druhou fázi konzultace, v jejímž rámci dotčení akcionáři a věřitelé předložili připomínky k předběžnému rozhodnutí SRB, k němuž bylo připojeno ocenění 3.

11.

Údaje shromážděné ve fázi registrace, tj. důkazy o totožnosti účastníků a vlastnictví odepisovaných nebo konvertovaných a převedených kapitálových nástrojů společnosti Banco Popular, byly přístupné omezenému počtu zaměstnanců SRB odpovědných za zpracování těchto údajů za účelem určení způsobilosti účastníků. Tyto údaje nebyly viditelné zaměstnancům SRB odpovědným za zpracování připomínek obdržených ve fázi konzultace, během níž obdrželi pouze připomínky identifikované odkazem na alfanumerický kód ( 6 ) přiřazený každé připomínce předložené prostřednictvím formuláře.

12.

Po seskupení, automatickém filtrování a kategorizaci připomínek předal SRB společnosti Deloitte ( 7 ) takto filtrované, kategorizované a seskupené připomínky ke zpracování ocenění 3. Připomínky předané společnosti Deloitte představovaly pouze ty, které byly získány ve fázi konzultace a obsahovaly alfanumerický kód, který byl vyvinut pro účely auditu, aby mohl SRB ověřit a případně a posteriori prokázat, že každá připomínka byla zpracována a řádně zohledněna. SRB byl jediný, kdo mohl za pomoci tohoto kódu spojit připomínky s údaji získanými ve fázi registrace. Společnost Deloitte neměla a stále nemá přístup k databázi shromážděné ve fázi registrace.

13.

Dotčení akcionáři a věřitelé (dále jen „stěžovatelé“) podali na základě nařízení 2018/1725 pět stížností k EIOÚ z důvodu, že prohlášení o ochraně osobních údajů týkající se zpracování osobních údajů zveřejněné SRB neobsahovalo zmínku o předání údajů shromážděných prostřednictvím formuláře společnosti Deloitte. Tvrdili, že SRB porušil informační povinnost týkající se zpracování osobních údajů podle tohoto nařízení, která je stanovena v čl. 15 odst. 1 písm. d) uvedeného nařízení.

14.

EIOÚ přijal dne 24. června 2020 prvotní rozhodnutí, které bylo zrušeno v návaznosti na žádost SRB o jeho přezkoumání a nahrazeno sporným rozhodnutím ze dne 24. listopadu 2020, které znělo následovně:

15.

Žalobou došlou kanceláři Tribunálu dne 1. září 2020 a návrhem na úpravu žaloby podaným dne 29. ledna 2021 se SRB domáhal jednak zrušení sporného rozhodnutí a jednak určení, že prvotní rozhodnutí EIOÚ ze dne 24. června 2020 je protiprávní.

16.

Na podporu prvního bodu návrhových žádání ( 8 ) uvedl SRB dva žalobní důvody. První žalobní důvod vycházel z porušení čl. 3 odst. 1 nařízení 2018/1725, neboť informace předané společnosti Deloitte nepředstavovaly osobní údaje, a druhý žalobní důvod vycházel z porušení práva na řádnou správu zakotveného v článku 41 Listiny základních práv Evropské unie.

17.

Napadeným rozsudkem prohlásil Tribunál tento bod návrhových žádání za přípustný. Co se týče věci samé, vyhověl prvnímu žalobnímu důvodu a zrušil sporné rozhodnutí, aniž zkoumal druhý žalobní důvod.

18.

Pokud jde o první žalobní důvod, Tribunál zaprvé konstatoval, že EIOÚ měl za to, že informace předané společnosti Deloitte byly informacemi „o“ fyzické osobě ve smyslu čl. 3 odst. 1 nařízení 2018/1725 na základě domněnky, aniž zkoumal obsah, účel nebo účinek informací předaných společnosti Deloitte ( 9 ), což je v rozporu s rozsudkem Nowak ( 10 ).

19.

Zadruhé, pokud jde o podmínku stanovenou v čl. 3 bodu 1 nařízení 2018/1725, podle níž se musí jednat o informaci o „identifikované nebo identifikovatelné“ fyzické osobě, Tribunál rozhodl, že v projednávané věci příslušelo EIOÚ, aby zkoumal, zda připomínky předané společnosti Deloitte představovaly ve vztahu k ní osobní údaje. Podle napadeného rozsudku však EIOÚ zkoumal pouze možnost zpětné identifikace autorů připomínek z pohledu SRB, a nikoli společnosti Deloitte. Vzhledem k tomu, že EIOÚ nezkoumal, zda společnost Deloitte disponovala v praxi legálními a proveditelnými prostředky, jež by jí umožňovaly přístup k dodatečným informacím nezbytným ke zpětné identifikaci autorů připomínek, nemohl EIOÚ dospět k závěru, že informace předané společnosti Deloitte představují informace týkající se „identifikovatelné fyzické osoby“ ve smyslu čl. 3 bodu 1 nařízení 2018/1725 ( 11 ).

20.

Podáním došlým kanceláři Soudního dvora dne 5. července 2023 podal EIOÚ proti napadenému rozsudku kasační opravný prostředek. Usnesením předsedy Soudního dvora ze dne 29. listopadu 2023 ( 12 ) bylo povoleno vedlejší účastenství Evropskému sboru pro ochranu osobních údajů na podporu návrhových žádání EIOÚ a rozhodnutím ze dne 20. října 2023 bylo povoleno vedlejší účastenství Evropské komisi na podporu SRB.

21.

EIOÚ navrhuje, aby Soudní dvůr:

22.

Evropský sbor pro ochranu osobních údajů na podporu EIOÚ navrhuje, aby Soudní dvůr:

23.

SRB navrhuje, aby Soudní dvůr:

24.

Evropská komise na podporu SRB navrhuje, aby Soudní dvůr:

25.

Na podporu kasačního opravného prostředku EIOÚ, podporovaný Evropským sborem pro ochranu osobních údajů, uplatňuje dva důvody. První z nich směřuje ke zpochybnění způsobu, jakým Tribunál vyložil pojem „osobní údaje“ ve smyslu čl. 3 odst. 1 a 6 nařízení 2018/1725, jak je vykládán judikaturou Soudního dvora. Druhý důvod vychází z porušení zásady odpovědnosti stanovené v čl. 4 odst. 2 a čl. 26 odst. 1 tohoto nařízení.

26.

První důvod kasačního opravného prostředku je rozdělen na dvě části. První část se týká podmínky, podle níž sporné informace musí být informacemi „o“ fyzické osobě, a druhá se týká podmínky, že tato osoba musí být „identifikovaná nebo identifikovatelná“.

27.

EIOÚ, podporovaný Evropským sborem pro ochranu osobních údajů, tvrdí, že se Tribunál dopustil pochybení, když rozhodl, že EIOÚ vycházel z domněnky týkající se výkladu podmínky, podle níž byly informace předané společnosti Deloitte informacemi o fyzické osobě ve smyslu čl. 3 bodu 1 nařízení 2018/1725. Je toho názoru, že za okolností projednávané věci nebylo z jeho strany nezbytné důkladnější posouzení.

28.

SRB tvrdí, že se EIOÚ omezil, jak rozhodl Tribunál, na konstatování, že sporné připomínky předložené stěžovateli ve fázi konzultace v rámci řízení týkajícího se práva být vyslechnut odrážejí jejich názory nebo stanoviska, ačkoli měl zkoumat, zda informace předané společnosti Deloitte souvisely svým obsahem, účelem nebo účinkem s určitou osobou, jak to vyžaduje rozsudek Nowak.

29.

Je třeba připomenout, že Soudní dvůr opakovaně rozhodl, že použití výrazu „veškeré informace“ v definici pojmu „osobní údaje“ odráží cíl unijního normotvůrce přiznat tomuto pojmu široký význam, který potenciálně zahrnuje všechny druhy informací ( 13 ), a to jak objektivní, tak subjektivní, ve formě názoru nebo hodnocení, avšak pod podmínkou, že jsou „o“ dotčené osobě.

30.

Z tohoto pohledu jde o informaci o identifikované nebo identifikovatelné fyzické osobě, pokud z důvodu svého obsahu, účelu nebo účinku „souvisí“ s určitou osobou ( 14 ).

31.

Pokud jde o takové názory nebo hodnocení, jako jsou připomínky stěžovatelů dotčené v projednávané věci, považuji za relevantní rozlišovat podle toho, zda posuzujeme, jestli se uvedené názory a hodnocení „vztahují“ k jedné nebo více osobám, uvedeným v textu názoru nebo hodnocení, nebo zda je třeba určit, jako je tomu v projednávané věci, zda se vztahují k jejich autorovi. V prvním případě je třeba k vyvození závěru o existenci informace o osobě, která je předmětem hodnocení, analyzovat, zda se obsah, účel nebo účinek hodnocení týká této osoby. Naproti tomu ve druhém případě se domnívám, že pokud jde o určení, zda se hodnocení týká osoby, která jej podala, lze předpokládat, že tomu tak je a že se názor nebo hodnocení nutně váže k jeho autorovi.

32.

V rozsudku Nowak se v podstatě jednalo o posouzení informací obsažených v dokumentu s odpověďmi na zkušební otázky. Tím byly dotčeny dvě osoby: účastník odborné zkoušky a zkoušející. Je pravda, že Soudní dvůr zkoumal obsah, účel a účinek odpovědí zkoušeného, aby dovodil, že se ho týkají. Co se však týče konkrétně korekturních poznámek zkoušejícího, které odrážejí jeho názor nebo hodnocení ( 15 ), Soudní dvůr sice zkoumal obsah, účel a účinek informací obsažených v dokumentu, aby dospěl k závěru, že se tato hodnocení týkají zkoušeného, takové posouzení však neprovedl, pokud jde o závěr, že se tyto informace týkají zkoušejícího, který byl jejich autorem ( 16 ). Podle mého názoru tedy nelze zcela vyloučit, že se pro účely posouzení skutečnosti, zda se názor nebo hodnocení nebo, jako je tomu v projednávané věci, připomínka, „váže“ k jejich autorovi, může uplatnit (prostá) domněnka.

33.

Vzhledem k tomu, že připomínky dotčené v projednávané věci vycházely od stěžovatelů a prokazovaly „jejich logiku a úvahy“, čímž odrážely vyjádření jejich „subjektivního názoru“, vyvozuji z toho, nebude-li prokázán opak, že se nutně týkaly uvedených stěžovatelů bez ohledu na účel nebo účinek jejich připomínek.

34.

Každopádně i v případě, že by nebylo možné takovou domněnku v projednávané věci použít, jsem toho názoru, že se dotčené připomínky „vztahují“ ke stěžovatelům z důvodu jejich obsahu, účelu a účinku.

35.

SRB v tomto ohledu tvrdí, že argumenty vycházející z účelu a kontextu dotčených připomínek jsou irelevantní, jelikož nebyly zkoumány ve sporném rozhodnutí, nepřípustné, jelikož obsahují nové skutkové tvrzení, a v každém případě jsou nesprávné.

36.

Tuto argumentaci nepovažuji za přesvědčivou. Jak posouzení provedené EIOÚ ve sporném rozhodnutí, tak posouzení Tribunálu jsou totiž součástí právního kontextu, který byl zohledněn a který jasně uvádí účel a účinek dotčených připomínek předložených v rámci řízení týkajícího se práva být vyslechnut. Tyto argumenty týkající se účelu a účinku dotčených připomínek jsou tedy relevantní a přípustné.

37.

Kromě toho, pokud jde o věc samou, z použitelného právního rámce vyplývá, že účelem řízení týkajícího se práva být vyslechnut, v jehož rámci byly předloženy dotčené připomínky, bylo umožnit dotčeným akcionářům a věřitelům podílet se na daném řízení, zejména s cílem umožnit SRB získat informace nezbytné k přijetí konečného rozhodnutí o tom, zda je či není nutné poskytnout akcionářům a věřitelům dotčeným řešením krize společnosti Banco Popular odškodnění na základě zásady, podle níž se žádný věřitel nesmí dostat do méně výhodného postavení než v případě likvidace v běžném úpadkovém řízení ( 17 ). Kromě toho mohly mít tyto připomínky, jakmile je SRB zohlednil, dopad na zájmy a práva stěžovatelů v oblasti finanční náhrady.

38.

Z toho vyvozuji, že dotčené připomínky se vztahují k osobám dotčeným v projednávané věci, a to i z důvodu jejich účelu a účinku.

39.

Dodávám, že je pravda, že dotčené připomínky, tak jak byly předány společnosti Deloitte, byly „filtrovány, kategorizovány a seskupeny“, takže jak vyplývá ze skutečností zjištěných Tribunálem ( 18 ), jednotlivé připomínky nebylo možné v rámci téhož tématu odlišit: přesto lze připustit, že tyto společné připomínky, byť seskupené, odrážejí v rámci svého obsahu osobní stanoviska týkající se ocenění 3. Představují totiž souhrn názorů, které jako takové představují informace „o“ osobách, které je vyjádřily. Jejich filtrování, jejich kategorizace a jejich seskupení na tomto zjištění nic nemění, neboť jinak by k obejití podmínky, že se jedná o informaci „o“ fyzické osobě, stačilo seskupit několik názorů. Domnívám se, že skutečnost, že v rámci uvedeného souhrnu připomínek nelze odlišit jednotlivé individuální názory, spadá spíše pod druhou kumulativní podmínku týkající se identifikovatelnosti subjektů údajů, zkoumanou v rámci druhé části tohoto důvodu kasačního opravného prostředku než pod podmínku vyžadující, aby připomínka „souvisela“ s fyzickou osobou.

40.

Za těchto okolností jsem toho názoru, že posouzení Tribunálu lze v tomto ohledu považovat za stižené vadou nesprávného právního posouzení v rozsahu, v němž měl Tribunál za to, že EIOÚ neprovedl posouzení vyžadované rozsudkem Nowak, aby dospěl k závěru, že dotčené připomínky jsou informacemi „o“ fyzických osobách ve smyslu čl. 3 bodu 1 nařízení 2018/1725.

41.

Pokud by se Soudní dvůr rozhodl tuto první část důvodu kasačního opravného prostředku zamítnout a měl za to, že se dotčené pseudonymizované připomínky nevztahují k jejich autorům, bylo by posouzení druhé části tohoto důvodu nadbytečné, jelikož se podle čl. 3 bodu 1 nařízení 2018/1725 jedná o nezbytnou podmínku existence osobních údajů, která je kumulativní s podmínkou identifikovatelnosti subjektů údajů zkoumanou níže.

42.

EIOÚ a Evropský sbor pro ochranu osobních údajů v podstatě tvrdí, že se Tribunál dopustil dvou pochybení, z nichž první se týká pojmu „pseudonymizace“ a druhé se týká výkladu rozsudku Breyer ( 19 ), což SRB a Komise zpochybňují.

43.

Tato výtka ilustruje existenci dvou velmi odlišných přístupů k rozsahu oblasti působnosti pravidel ochrany údajů. Je třeba do ní automaticky zahrnovat pseudonymizované údaje pouze z důvodu, že subjekty údajů zůstávají i nadále identifikovatelné, bez ohledu na přístupnost dodatečných údajů nezbytných k identifikaci, nebo je třeba mít za to, že v důsledku procesu pseudonymizace mají údaje charakter osobních údajů pouze pro ty osoby, které mohou subjekt údajů rozumně identifikovat?

44.

EIOÚ a Evropský sbor pro ochranu osobních údajů v podstatě tvrdí, že pseudonymizované údaje zůstávají osobními údaji pouze z toho důvodu, že subjekty údajů jsou i nadále identifikovatelné, neboť informace umožňující jejich identifikaci nadále existují. Přístup Tribunálu je podle nich nesprávný v tom, že umožňuje považovat pseudonymizované údaje ve vztahu k příjemci za anonymizované údaje, což představuje riziko pro ochranu subjektů údajů a vede k zaměňování pseudonymizace a anonymizace. Takový přístup je podle nich v rozporu se zněním a cílem nařízení 2018/1725 a umožňuje správci neoprávněně vyjmout osobní údaje z působnosti unijního práva v oblasti ochrany těchto údajů.

45.

SRB a Komise tvrdí, že pseudonymizované údaje zůstávají osobními údaji pro správce, který je pseudonymizoval, avšak u příjemců je třeba posoudit identifikovatelnost subjektů údajů. Kromě toho, ačkoli čl. 3 bod 1 nařízení 2018/1725 neupřesňuje, kdo má být schopen identifikovat subjekt údajů, je ve světle bodu 16 odůvodnění a v kontextu čl. 15 odst. 1 písm. d) tohoto nařízení, které je předmětem projednávané věci, relevantní hledisko příjemce. Pokud tento příjemce neobdrží osobní údaje, není podle jejich názoru nutné informovat subjekty údajů o předání údajů, neboť jejich práva nejsou dotčena.

46.

Předně stojí za připomenutí, že pseudonymizace představuje zpracování osobních údajů, jehož cílem je v souladu s bodem 17 odůvodnění nařízení 2018/1725 „omezit rizika“, že dojde k propojení souboru údajů s totožností subjektu údajů, a „napomoci správcům a zpracovatelům splnit povinnosti týkající se ochrany údajů“.

47.

Článek 3 bod 6 nařízení 2018/1725 pseudonymizaci definuje jako „zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, [které jsou] uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě“ ( 20 ).

48.

Pseudonymizace tedy není součástí definice osobních údajů, které jsou vymezeny v čl. 3 bodě 1 nařízení 2018/1725 s ohledem na pojem „identifikovatelnosti“ subjektu údajů. Jak ostatně uvedla Komise ve spise vedlejšího účastníka, toto nařízení definuje pojem „pseudonymizace“, přičemž odkazuje na proces zavedení ochranného opatření nebo technického a organizačního opatření, ale nikoli na pojem „pseudonymizovaných údajů“.

49.

Tento výklad je potvrzen zněním čl. 3 bodu 6 ve spojení s bodem 16 odůvodnění tohoto nařízení, jehož první věta připomíná, že „[z]ásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby“.

50.

Bod 16 odůvodnění nařízení 2018/1725 si mimoto zasluhuje podrobnější analýzu ( 21 ). Obsahuje totiž druhou větu, v níž se uvádí, že „[o]sobní údaje, na něž byla uplatněna pseudonymizace a jež by mohly být přiřazeny fyzické osobě na základě dodatečných informací, by měly být považovány za informace o identifikovatelné fyzické osobě“. Na to navazují třetí a čtvrtá věta, které upřesňují obsah tohoto požadavku na identifikovatelnost.

51.

Ze znění těchto ustanovení vyvozuji, že pseudonymizace ponechává otevřenou možnost, že subjekty údajů nebudou identifikovatelné, jinak by znění tohoto bodu 16 odůvodnění nedávalo smysl. Dodávám, že závěrečné věty uvedeného bodu 16 odůvodnění týkající se anonymizace tento výklad potvrzují: vylučují anonymizované (nebo anonymní) údaje z oblasti působnosti nařízení 2018/1725 ( 22 ), ale pseudonymizované údaje z ní vylučují pouze v případě, že subjekty údajů nejsou identifikovatelné. Pokud uvedené osoby nelze identifikovat, jsou tedy právně považovány za dostatečně chráněné postupem pseudonymizace, a to bez ohledu na skutečnost, že dodatečné identifikační údaje nebyly zcela vymazány.

52.

Jinými slovy, nejedná se o automatické vynětí pseudonymizovaných údajů z oblasti působnosti uvedeného nařízení ( 23 ). S ohledem na bod 16 odůvodnění tohoto nařízení však nelze vyloučit, že takové údaje nebudou za určitých podmínek spadat pod pojem „osobní údaje“.

53.

Na rozdíl od toho, co tvrdí EIOÚ, se mi takový přístup nezdá být v rozporu s cílem zajistit vysokou úroveň ochrany osobních údajů, zejména s ohledem na požadavky týkající se identifikovatelnosti stanovené použitelnými ustanoveními a s ohledem na jejich výklad judikaturou.

54.

Zaprvé bod 16 odůvodnění nařízení 2018/1725 odkazuje na identifikovatelnost správcem „nebo jinou osobou“: toto široké, i když ne neomezené pojetí ( 24 ), je součástí ochranného přístupu k osobním údajům.

55.

Stejně tak zmíněný bod 16 odůvodnění stanoví, že je třeba vzít v úvahu prostředky, o nichž lze rozumně předpokládat, že budou použity k přímé či nepřímé identifikaci fyzické osoby, s přihlédnutím ke všem objektivním faktorům, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji, což představuje širokou a ochrannou definici osobních údajů.

56.

Zadruhé výklad pojmu „identifikovatelnost“ v judikatuře, který je zaměřený na riziko opětovné identifikace subjektů údajů, rovněž umožňuje široké použití pojmu „osobní údaje“. Soudní dvůr tak systematicky kvalifikoval jako „osobní údaje“ ty údaje, které, ačkoli byly odděleny od identifikačních údajů v rukou jiné osoby, mohly vést v dotčeném kontextu k riziku, že subjekty údajů budou znovu identifikovány ( 25 ).

57.

Určitý údaj tudíž nepodléhá kvalifikaci „osobního údaje“ pouze v případě, že riziko identifikace neexistuje nebo je zanedbatelné ( 26 ).

58.

Argumenty EIOÚ a Evropského sboru pro ochranu osobních údajů týkající se nebezpečí plynoucího z příliš restriktivního výkladu osobních údajů nejsou podle mého názoru přesvědčivé. Skutečnost, že se pravidla vyplývající z nařízení 2018/1725 nepoužijí na údaje týkající se neidentifikovatelných osob, totiž nebrání případnému vzniku právní odpovědnosti subjektů, kteří se dopustí protiprávního jednání, například v případě zpřístupnění údajů, jehož následkem dojde ke způsobení újmy. Naproti tomu se mi jeví jako nepřiměřené ukládat subjektu, který by nemohl rozumně identifikovat subjekty údajů, povinnosti vyplývající z nařízení 2018/1725 ( 27 ), které by tento subjekt již z povahy věci nemohl splnit nebo které by ho právě vedly k tomu, aby se pokusil o identifikaci subjektů údajů.

59.

S ohledem na tyto úvahy jsem toho názoru, že na rozdíl od toho, co tvrdí EIOÚ, bylo třeba při analýze sporu s ohledem na údaje předané společnosti Deloitte určit, zda bylo zpracování pseudonymizace dotčených údajů dostatečně spolehlivé na to, aby bylo možné dospět k závěru, že stěžovatelé, původci informací předaných společnosti Deloitte, nebyli rozumným způsobem identifikovatelní. Jinými slovy, pokud by společnost Deloitte měla v této souvislosti k dispozici přiměřené prostředky k identifikaci uvedených stěžovatelů, bylo by možné mít za to, že zpracovává osobní údaje.

60.

První vytýkaná skutečnost vznesená EIOÚ by tedy měla být podle mého názoru zamítnuta.

61.

EIOÚ, podporovaný Evropským sborem pro ochranu osobních údajů je toho názoru, že dotčené pseudonymizované údaje představují pro SRB osobní údaje, a proto měl SRB povinnost informovat subjekty údajů o jejich příjemci. V podstatě tvrdí, že Tribunál nesprávně vyložil rozsudek Breyer, který se týkal skutkově odlišné situace.

62.

Podle SRB podporovaného Komisí je naproti tomu srovnání s rozsudkem Breyer relevantní a vede k závěru, že se informační povinnost uplatní pouze tehdy, jsou-li předávané údaje osobními údaji z hlediska příjemce, v tomto případě společnosti Deloitte, což jak správně rozhodl Tribunál, nebylo v projednávané věci prokázáno.

63.

Jsem toho názoru, že informační povinnost stanovená v čl. 15 odst. 1 písm. d) nařízení 2018/1725 a paralela s rozsudkem Breyer vedou v projednávané věci k odlišnému závěru, než ke kterému dospěl Tribunál, což vysvětlím v rámci analýzy této vytýkané skutečnosti.

64.

Článek 4 odst. 1 písm. a) nařízení 2018/1725 stanoví požadavek korektního, zákonného a transparentního zpracování údajů ve vztahu k subjektu údajů.

65.

Článek 15 odst. 1 písm. d) tohoto nařízení konkrétně stanoví, že získávají-li se osobní údaje týkající se subjektu údajů od tohoto subjektu, informuje správce subjekty údajů „v okamžiku získání osobních údajů“ o možných příjemcích těchto údajů. Zdá se tedy, že tuto informaci musí správce poskytnout okamžitě, a sice v okamžiku sběru údajů ( 28 ).

66.

Význam splnění takové informační povinnosti potvrzuje rovněž bod 35 odůvodnění nařízení 2018/1725, který uvádí, že zásady korektního a transparentního zpracování vyžadují, aby byl subjekt údajů informován o probíhající operaci zpracování a jejích účelech, přičemž je třeba zdůraznit, že správce by měl poskytnout veškeré další informace nezbytné pro zajištění korektního a transparentního zpracování, s přihlédnutím ke konkrétním okolnostem a kontextu, v němž jsou osobní údaje zpracovávány ( 29 ).

67.

Taková informační povinnost je o to důležitější, že platnost souhlasu uděleného subjektem údajů závisí mimo jiné na tom, zda tento subjekt předtím získal informace o všech okolnostech souvisejících se zpracováním dotčených údajů, na které měl nárok podle článků 14 a 15 nařízení 2018/1725 a které mu umožňují udělit souhlas s plnou znalostí věci ( 30 ).

68.

Dodávám, že jediná výjimka z této informační povinnosti uvedená v čl. 15 odst. 4 nařízení 2018/1725 se vztahuje na případ, kdy subjekt údajů již dotčené informace má.

69.

Z toho vyvozuji, že v projednávané věci je tato informační povinnost součástí právního vztahu mezi subjekty údajů, v tomto případě stěžovateli, na jedné straně a SRB jakožto správcem na straně druhé, a nikoli součástí vztahu mezi SRB a příjemcem, tedy společností Deloitte. Informační povinnost se tedy týká údajů, které má k dispozici SRB, před jejich předáním společnosti Deloitte. Je přitom nesporné, že se jedná o osobní údaje, neboť SRB má k dispozici připomínky a podklady pro identifikaci osob, které je podaly.

70.

Takový přístup k „relevantnímu hledisku“ ( 31 ) mě tedy vede k odlišnému řešení, než ke kterému dospěl Tribunál, a to i při srovnání s rozsudkem Breyer.

71.

Připomínám, že ve sporu, který vedl k předběžné otázce položené v uvedeném rozsudku, se P. Breyer domáhal toho, aby bylo správci (Spolková republika Německo) zakázáno uchovávat jeho dynamickou IP adresu. Dodatečné informace umožňující jeho identifikaci prostřednictvím IP adresy spojené s jeho počítačem byly v rukou nikoli správce, ale poskytovatele internetového připojení. Otázkou tedy bylo, zda lze dynamickou IP adresu, kterou měl k dispozici správce, kvalifikovat jako „osobní údaje“, a tudíž, zda tato adresa jako taková může v rámci právního vztahu mezi P. Breyerem a uvedeným správcem založit povinnosti správce v oblasti uchovávání údajů, přestože identifikační údaje P. Breyera byly v rukou jiné osoby než správce. V podstatě bylo rozhodnuto, že správce, přestože neměl k dispozici dodatečné identifikační údaje, k nim mohl mít přístup přiměřenými prostředky, a dynamická IP adresa byla proto kvalifikována jako „osobní údaj“.

72.

Jak bylo připomenuto výše ( 32 ), v projednávané věci je informační povinnost součástí vztahu mezi subjekty údajů (stěžovateli) a správcem (SRB): informační povinnost vzniká v okamžiku, kdy SRB získal dotčené údaje, a pokud jde zejména o informaci o příjemci, nejpozději v okamžiku, kdy je tento příjemce znám. Jakmile však tento okamžik nastane, jsou dotčené údaje osobními údaji v rukou SRB, který má k dispozici dodatečné identifikační údaje. S ohledem na dotčenou informační povinnost a s ohledem na okamžik, kdy tato povinnost vznikla, tedy dotčené údaje představovaly osobní údaje bez ohledu na jejich identifikovatelnost společností Deloitte, která není dotčena ani právním vztahem mezi stěžovateli a SRB, který je jako jediný relevantní, ani touto informační povinností příslušející SRB.

73.

Domnívám se, že v tomto ohledu je třeba paralelu projednávané věci s rozsudkem Breyer zpochybnit.

74.

Z uvedeného vyplývá, že povinnost poskytnout informace příslušela SRB jakožto správci, a to na základě jeho vztahu se stěžovateli, od nichž dotčené údaje získal, a to bez ohledu na to, zda byly údaje předané do rukou společnosti Deloitte osobní či nikoli.

75.

Argument SRB, zopakovaný na jednání, podle něhož je relevantní hledisko příjemce, jelikož je třeba ověřit, zda je či není „příjemcem osobních údajů“, musí být v souladu s těmito úvahami odmítnut.

76.

V tomto ohledu je pravda, že znění čl. 15 odst. 1 písm. d) nařízení 2018/1725, které zmiňuje „příjemce […] osobních údajů“, může být matoucí. Užitečný účinek tohoto ustanovení však vyžaduje, aby byla informace poskytnuta subjektům údajů co nejdříve a před uvedeným předáním údajů ( 33 ). I když SRB neměl v projednávané věci v době prvotního shromažďování připomínek v úmyslu vyžádat si stanovisko společnosti Deloitte, aby zjistil, zda tyto připomínky mění ocenění 3, ze sporného rozhodnutí napadeného před Tribunálem vyplývá, že společnost Deloitte byla SRB nápomocna v rámci řízení týkajícího se práva být vyslechnut ( 34 ). Kromě toho lze mít za to, že záměr SRB poskytnout pseudonymizované údaje společnosti Deloitte existoval nejpozději v okamžiku, kdy bylo rozhodnuto o zpracování dotčených připomínek právě za účelem jejich pseudonymizace ( 35 ), jinak by pseudonymizace neměla žádné odůvodnění.

77.

Jsem tedy toho názoru, že přezkum splnění informační povinnosti k okamžiku, kdy SRB předal údaje společnosti Deloitte, a při použití jejího pohledu jakožto příjemce za účelem stanovení, zda jsou dotčené údaje osobními údaji či nikoli, vede k posunu uvedeného přezkumu v čase. Z toho důvodu by byl tento přezkum chybně odložen, jelikož by se prováděl u údajů, které již byly příjemci předány, přestože se předmět informační povinnosti týká vztahu mezi SRB a stěžovateli a má jim umožnit, aby před předáním udělili informovaný souhlas.

78.

Navíc, pokud jde o souhlas stěžovatelů, jejich účast na řízení týkajícím se práva být vyslechnut lze zajisté vykládat jako implicitní souhlas se sdílením osobních údajů se správcem za účelem zohlednění jejich připomínek. To však podle mého názoru nemůže stačit k tomu, aby se jednalo informovaný souhlas s pseudonymizací údajů a jejich předáním společnosti Deloitte, aniž je SRB v tomto ohledu předem informoval ( 36 ).

79.

Z toho podle mého názoru vyplývá, že informační povinnost SRB se v projednávané věci uplatnila před předáním dotčených údajů a bez ohledu na to, zda měly osobní povahu, když byly v držení společnosti Deloitte.

80.

Skutečnost, zda pseudonymizace je či není dostatečně spolehlivá a účinná, aby bylo možné posoudit, zda údaje v držení společnosti Deloitte představují osobní údaje či nikoli, se mi tedy nakonec z pohledu informační povinnosti SRB nejeví relevantní.

81.

Proto měla být informační povinnost příslušející SRB jakožto správci v projednávané věci splněna, a napadený rozsudek musí být tudíž zrušen z důvodu nesprávného právního posouzení.

82.

Vzhledem k tomu, že hledisko příjemce dotčených údajů není z hlediska informační povinnosti stanovené v čl. 15 odst. 1 písm. d) nařízení 2018/1725 relevantní, jeví se argumenty účastníků řízení týkající se možnosti společnosti Deloitte identifikovat subjekty údajů v praxi legálními a proveditelnými prostředky, jako bezpředmětné, a není tedy třeba je zkoumat.

83.

Pro případ, že by Soudní dvůr tento názor nesdílel, podpůrně uvádím, že EIOÚ zpochybňuje v tomto ohledu konstatování Tribunálu, podle něhož neměla společnost Deloitte přístup k identifikačním údajům. Opírá se zejména o smluvní subdodavatelský vztah mezi SRB a společností Deloitte. SRB a Komise tvrdí, že EIOÚ tím vznáší nová skutková tvrzení, která jsou ve fázi kasačního opravného prostředku nepřípustná. S tím souhlasím. Existence smluvního vztahu mezi SRB a společností Deloitte, která by prokazovala, že společnost Deloitte mohla požádat SRB o identifikaci stěžovatelů, totiž představuje nový argument, k němuž se Tribunál ostatně nijak nevyjádřil. Z toho vyplývá, že tento argument musí být případně odmítnut jako nepřípustný na základě čl. 170 odst. 1 druhé věty jednacího řádu Soudního dvora, podle kterého kasační opravný prostředek nesmí měnit předmět sporu před Tribunálem ( 37 ).

84.

V rámci druhého důvodu kasačního opravného prostředku, vycházejícího z porušení zásady odpovědnosti stanovené v čl. 4 odst. 2 a čl. 26 odst. 1 nařízení 2018/1725, EIOÚ, podporovaný Evropským sborem pro ochranu osobních údajů, tvrdí, že Tribunál nesprávně rozhodl, že mu přísluší prokázat, že informace předané společnosti Deloitte představovaly osobní údaje, a to v rozporu se zásadou odpovědnosti SRB.

85.

S ohledem na výše uvedené a zejména na body 81 a 82 výše mám za to, že tento druhý důvod není třeba zkoumat.

86.

Budu se jím proto zabývat pouze stručně, podpůrně.

87.

Pokud jde o přípustnost tohoto důvodu neuplatněného před Tribunálem, kterou SRB zpochybňuje, připomínám, že navrhovatel může podat kasační opravný prostředek tak, že uvede důvody vyplývající ze samotného napadeného rozsudku směřující ke zpochybnění jeho právní opodstatněnosti ( 38 ). Tak tomu je podle mého názoru v případě tohoto důvodu kasačního opravného prostředku, který je tedy přípustný.

88.

Pokud jde o věc samou, je třeba připomenout, že Tribunál rozhodl, že vzhledem k tomu, že EIOÚ nezkoumal, zda společnost Deloitte disponovala v praxi legálními a proveditelnými prostředky, jež by jí umožňovaly přístup k dalším informacím nezbytným ke zpětné identifikaci stěžovatelů, nemohl EIOÚ dospět k závěru, že informace předané společnosti Deloitte představují informace týkající se „identifikovatelné fyzické osoby“ ve smyslu čl. 3 bodu 1 nařízení 2018/1725.

89.

EIOÚ, podporovaný Evropským sborem pro ochranu osobních údajů, v podstatě tvrdí, že Tribunál měl ověřit, zda SRB jakožto správce, prokázal, že sporné údaje ve vztahu ke společnosti Deloitte anonymizoval.

90.

SRB tuto argumentaci zpochybňuje a tvrdí, že zásada odpovědnosti se uplatní pouze v případě, že se jedná o osobní údaje a že v projednávané věci byly údaje v rukou společnosti Deloitte anonymizovány.

91.

Komise tvrdí, že v první fázi nese EIOÚ přiměřené důkazní břemeno, aby na základě dostupných důkazů prokázal existenci osobních údajů. Ve druhé fázi je na dotyčném správci, aby tento závěr vyvrátil předložením dalších důkazů.

92.

Připomínám, že podle čl. 4 odst. 1 písm. a) nařízení 2018/1725 musí být osobní údaje ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem. Článek 4 odst. 2 tohoto nařízení stanoví, že „správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit“. Ze zásady odpovědnosti stanovené v čl. 4 odst. 2 a upřesněné v čl. 26 odst. 1 zmíněného nařízení tedy vyplývá, že správce musí být schopen prokázat, že dodržuje zásady zpracování osobních údajů uvedené v čl. 4 odst. 1 ( 39 ).

93.

Pokud správce předloží v tomto směru dostatečné důkazy, lze mít za to, že unesl důkazní břemeno, které mu přísluší ( 40 ).

94.

V projednávané věci se podle mého názoru SRB dovolával několika skutkových okolností (zejména postupů filtrování, kategorizace, seskupení připomínek, popsaných ve sporném rozhodnutí a v napadeném rozsudku), aby v souladu se zásadou odpovědnosti, kterou je povinen dodržet, prokázal, že pro společnost Deloitte bylo nemožné identifikovat subjekty údajů.

95.

Před Tribunálem zaujal EIOÚ vůči tomuto pohledu zásadní stanovisko, které spočívalo v tom, že kvalifikoval připomínky předané společnosti Deloitte jako osobní údaje z pohledu SRB, a nikoli z pohledu společnosti Deloitte.

96.

Pokud bychom pro účely podpůrného zkoumání tohoto důvodu kasačního opravného prostředku připustili, že v projednávané věci bylo relevantní hledisko společnosti Deloitte ( 41 ), bylo by možné mít za to, že jak rozhodl Tribunál, příslušelo EIOÚ, aby prokázal ( 42 ), z jakého právního nebo technického důvodu nebyl proces pseudonymizace provedený SRB v projednávané věci dostatečný a měl vést k závěru, že společnost Deloitte zpracovává osobní údaje.

97.

Pokud jde o tento druhý důvod kasačního opravného prostředku, jsem tedy případně toho názoru, že napadený rozsudek je třeba potvrdit.

98.

Článek 61 první pododstavec statutu Soudního dvora Evropské unie stanoví, že je-li opravný prostředek opodstatněný, zruší Soudní dvůr rozhodnutí Tribunálu. Soudní dvůr může vydat sám konečné rozhodnutí ve věci, pokud to soudní řízení dovoluje, nebo věc vrátit zpět Tribunálu k rozhodnutí.

99.

První žalobní důvod, který SRB předložil proti spornému rozhodnutí před Tribunálem, vychází z porušení čl. 3 bodu 1 nařízení 2018/1725. Z bodů 63 až 82 tohoto stanoviska vyplývá, že vzhledem k tomu, že SRB nesplnil informační povinnost, kterou měl podle čl. 15 odst. 1 písm. d) nařízení 2018/1725, mělo by být sporné rozhodnutí podle mého názoru potvrzeno.

100.

Naproti tomu se domnívám, že druhý žalobní důvod vycházející z toho, že EIOÚ porušil v rámci řízení, které vedlo k přijetí sporného rozhodnutí, právo na řádnou správu, není ve stavu, v němž by o něm soudní řízení dovolovalo rozhodnout.

101.

SRB totiž zejména tvrdí, že EIOÚ porušil v rámci správního řízení, které předcházelo přijetí sporného rozhodnutí, jeho právo na přístup ke spisu, právo být vyslechnut, jakož i zásadu rovnosti zbraní tím, že mu jednak odepřel přístup ke spisu a jednak nesdělil připomínky stěžovatelů ani jejich obsah.

102.

Tribunál měl přitom za to, že vzhledem k tomu, že vyhověl prvnímu žalobnímu důvodu, nebylo třeba zkoumat druhý žalobní důvod, který mu byl předložen. Tento žalobní důvod, který zahrnuje zejména posouzení skutkového stavu, proto není ve stavu, v němž by o něm soudní řízení dovolovalo rozhodnout. Mám tedy za to, že věc musí být v tomto ohledu vrácena k rozhodnutí Tribunálu, přičemž o náhradě nákladů řízení bude rozhodnuto později.

103.

S přihlédnutím k výše uvedeným úvahám navrhuji, aby Soudní dvůr: