1

Kasačním opravným prostředkem se Evropský inspektor ochrany údajů (EIOÚ) domáhá zrušení rozsudku Tribunálu Evropské unie ze dne 26. dubna 2023, SRB v. EIOÚ (T‑557/20, dále jen napadený rozsudek, EU:T:2023:219), kterým Tribunál zrušil revidované rozhodnutí EIOÚ ze dne 24. listopadu 2020 přijaté v návaznosti na žádost o přezkum rozhodnutí EIOÚ ze dne 24. června 2020 podanou Jednotným výborem pro řešení krizí (SRB), které se týkalo pěti stížností podaných několika stěžovateli (věci 2019–947, 2019–998, 2019–999, 2019–1000 a 2019–1122) (dále jen „sporné rozhodnutí“).

2

Body 5, 16, 17 a 35 odůvodnění nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst 2018, L 295, s. 39) znějí takto:

[…]

[…]

3

Článek 3 body 1, 6, 8 a 13 nařízení 2018/1725, nadepsaný „Definice“, stanoví:

„Pro účely tohoto nařízení se rozumí:

[…]

[…]

[…]

4

Článek 4 téhož nařízení, nadepsaný „Zásady zpracování osobních údajů“, v odstavci 2 stanoví:

„Správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit (‚odpovědnost‘).“

5

Článek 14 uvedeného nařízení, nadepsaný „Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů“, v odstavci 1 stanoví:

„Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 15 a 16 a učinil veškerá sdělení podle článků 17 až 24 a 35 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že totožnost subjektu údajů je prokázána jinými způsoby.“

6

Článek 15 téhož nařízení, nadepsaný „Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů“, stanoví:

„1.   Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:

[…]

[…]

2.   Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace nezbytné pro zajištění korektního a transparentního zpracování:

[…]

[…]“

7

Článek 24 nařízení 2018/1725 stanoví podmínky, za nichž může být individuální rozhodnutí založeno na automatizovaném zpracování, včetně profilování.

8

Článek 26 tohoto nařízení, nadepsaný „Odpovědnost správce“, v odstavci 1 stanoví:

„S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením. Tato opatření musí být podle potřeby revidována a aktualizována.“

9

Skutečnosti předcházející sporu jsou uvedeny v bodech 2 až 32 napadeného rozsudku a lze je shrnout následovně.

10

Dne 7. června 2017 přijalo výkonné zasedání SRB rozhodnutí SRB/EES/2017/08 o programu řešení krize pro Banco Popular Español, SA na základě nařízení Evropského parlamentu a Rady (EU) č. 806/2014 ze dne 15. července 2014, kterým se stanoví jednotná pravidla a jednotný postup pro řešení krize úvěrových institucí a některých investičních podniků v rámci jednotného mechanismu pro řešení krizí a Jednotného fondu pro řešení krizí a mění nařízení (EU) č. 1093/2010 (Úř. věst. 2014, L 225, s. 1) (dále jen „nařízení SRMR“).

11

SRB ve výše uvedeném rozhodnutí, v němž měl za to, že podmínky stanovené v čl. 18 odst. 1 nařízení SRMR jsou splněny, rozhodl o zavedení režimu řešení krize ve společnosti Banco Popular Español SA (dále jen „Banco Popular“). SRB tak rozhodl o odpisu a konverzi kapitálových nástrojů společnosti Banco Popular na základě článku 21 tohoto nařízení a použití nástroje převodu činnosti podle článku 24 uvedeného nařízení prostřednictvím převodu akcií na nabyvatele.

12

Téhož dne přijala Evropská komise rozhodnutí (EU) 2017/1246, kterým se schvaluje program řešení krize pro Banco Popular Español SA (Úř. věst. 2017, L 178, s. 15).

13

V návaznosti na řešení krize Banco Popular byla auditorská a poradenská společnost Deloitte pověřena SRB, aby vypracovala ocenění rozdílného zacházení podle čl. 20 odst. 16 až 18 nařízení SRMR za účelem určení, zda by se akcionářům a věřitelům dostalo lepšího zacházení, pokud by Banco Popular vstoupila do běžného úpadkového řízení (dále jen „ocenění 3“). Dne 14. června 2018 předala společnost Deloitte toto ocenění SRB.

14

Dne 6. srpna 2018 zveřejnil SRB na svých internetových stránkách své stanovisko ze dne 2. srpna 2018 týkající se jeho předběžného rozhodnutí o tom, zda je třeba poskytnout odškodnění akcionářům a věřitelům, kterých se dotýkala opatření k řešení krize přijatá ve vztahu k Banco Popular Español, SA, a týkající se zahájení procesu zajištění práva být vyslechnut (SRB/EES/2018/132) (dále jen „předběžné rozhodnutí“), jakož i nedůvěrnou verzi ocenění 3. Dne 7. srpna 2018 bylo v Úředním věstníku Evropské unie zveřejněno sdělení týkající se tohoto stanoviska (Úř. věst. 2018, C 277 I, s. 1).

15

V předběžném rozhodnutí SRB uvedl, že k tomu, aby mohl přijmout konečné rozhodnutí o tom, zda je či není nutné poskytnout akcionářům a věřitelům dotčeným řešením krize společnosti Banco Popular (dále jen „dotčení akcionáři a věřitelé“) odškodnění podle čl. 76 odst. 1 písm. e) nařízení SRMR, je vyzval, aby vyjádřili zájem na uplatnění svého práva být vyslechnut podle čl. 41 odst. 2 písm. a) Listiny základních práv Evropské unie (dále jen „Listina“).

16

Podle informací uvedených v předběžném rozhodnutí mělo řízení týkající se práva být vyslechnut probíhat ve dvou fázích.

17

V první fázi (dále jen „fáze registrace“) byli dotčení akcionáři a věřitelé vyzváni, aby do 14. září 2018 vyjádřili svůj zájem na uplatnění svého práva být vyslechnut prostřednictvím on-line formuláře k registraci. V této fázi měli dotčení akcionáři a věřitelé, kteří chtěli uplatnit své právo být vyslechnuti, předložit SRB doklady prokazující, že ke dni řešení krize Banco Popular drželi jeden nebo více kapitálových nástrojů této společnosti, jež byly odepsány nebo konvertovány a převedeny na společnost Banco Santander SA v rámci řešení krize. Mezi doklady, které měly předložit, patřily doklad totožnosti a důkaz o vlastnictví jednoho z těchto kapitálových nástrojů ke dni 6. června 2017. SRB měl poté ověřit, zda každá osoba, která projevila svůj zájem, měla skutečně postavení dotčeného akcionáře nebo věřitele.

18

Dne 6. srpna 2018, kdy byla zahájena fáze registrace, SRB rovněž zveřejnil na internetové stránce registrace k řízení týkajícímu se práva být vyslechnut a na svých internetových stránkách prohlášení o ochraně osobních údajů týkající se zpracování osobních údajů v rámci tohoto řízení (dále jen „prohlášení o ochraně osobních údajů“).

19

Ve druhé fázi (dále jen „fáze konzultace“) mohly osoby, u nichž SRB ověřil jejich postavení dotčených akcionářů a věřitelů, předložit své připomínky k předběžnému rozhodnutí, ke kterému bylo připojeno ocenění 3. Dne 16. října 2018 SRB na svých internetových stránkách oznámil, že od 6. listopadu 2018 budou dotčení akcionáři a věřitelé vyzváni k předložení písemných připomínek k předběžnému rozhodnutí ve fázi konzultace.

20

Dne 6. listopadu 2018 zaslal SRB e-mailem dotčeným akcionářům a věřitelům jedinečný osobní odkaz (link), který jim umožňoval přístup k formuláři na internetu, jenž obsahoval sedm otázek s omezeným prostorem pro zodpovězení a umožnil dotčeným akcionářům a věřitelům předložit do 26. listopadu 2018 připomínky k předběžnému rozhodnutí, jakož i k nedůvěrnému znění ocenění 3.

21

SRB posoudil příslušné připomínky dotčených akcionářů a věřitelů týkající se předběžného rozhodnutí. Požádal společnost Deloitte, jakožto nezávislého hodnotitele, aby posoudila relevantní připomínky týkající se ocenění 3, poskytla mu dokument obsahující její hodnocení a přezkoumala, zda je toto ocenění ve světle těchto připomínek nadále platné.

22

Údaje shromážděné ve fázi registrace, a sice důkazy o totožnosti dotčených akcionářů a věřitelů a vlastnictví odpisovaných nebo převedených kapitálových nástrojů společnosti Banco Popular, byly přístupné omezenému počtu zaměstnanců SRB, a to těm, kteří zodpovídali za zpracování těchto údajů tak, aby určili, zda tito akcionáři a věřitelé mohou mít nárok na odškodnění.

23

Zaměstnanci SRB pověření analýzou připomínek obdržených ve fázi konzultace neměli přístup k údajům shromážděným ve fázi registrace, takže tyto připomínky byly odděleny od osobních informací týkajících se akcionářů a věřitelů, kteří je předložili, ani k datovým klíčům nebo informacím umožňujícím dohledat totožnost akcionáře nebo věřitele s odkazem na jedinečný alfanumerický kód přidělený každé připomínce předložené prostřednictvím formuláře. Alfanumerický kód spočíval v univerzálním jedinečném identifikátoru o 33 číslicích, vytvořeném náhodně v okamžiku obdržení odpovědí na formulář.

24

V první fázi SRB automaticky filtroval 23822 připomínek, z nichž každá měla jedinečný alfanumerický kód, které předložilo 2855 účastníků řízení. Dva algoritmy umožnily identifikovat 20101 připomínek jako totožné. V takovém případě byla připomínka v první řadě považována za původní připomínku, která byla zkoumána ve fázi analýzy, a totožné připomínky obdržené následně byly označeny jako duplicity.

25

Ve druhé fázi SRB identifikoval předložené připomínky, které spadaly do působnosti řízení týkajícího se práva být vyslechnut, jelikož mohly mít vliv na předběžné rozhodnutí nebo ocenění 3. Dále tyto připomínky rozdělil na ty, jež musely být přezkoumány SRB, protože se týkaly předběžného rozhodnutí, a ty, které musely být přezkoumány společností Deloitte, protože se týkaly ocenění 3. Na závěr této fáze SRB identifikoval 3730 připomínek, které seřadil podle jejich relevance a tématu.

26

Ve třetí fázi byly připomínky k předběžnému rozhodnutí zpracovány SRB a připomínky k ocenění 3, a sice 1104 připomínky, byly dne 17. června 2019 předány společnosti Deloitte prostřednictvím zabezpečeného virtuálního datového serveru vyhrazeného pro SRB. SRB nahrál soubory ke komunikaci se společností Deloitte na tento server a poskytl přístup k těmto souborům omezenému a kontrolovanému počtu zaměstnanců společnosti Deloitte, tedy těm, kteří byli přímo zapojeni do přezkumu připomínek k ocenění 3.

27

Připomínky předané společnosti Deloitte byly filtrovány, kategorizovány a seskupeny. Pokud kopírovaly předchozí připomínky, byla společnosti Deloitte zaslána pouze jedna verze, takže individuální připomínky, které se opakovaly, nemohly být v rámci téhož tématu odlišeny a Deloitte neměla možnost zjistit, zda určitou připomínku formuloval jeden nebo více účastníků řízení týkajícího se práva být vyslechnut.

28

Společnosti Deloitte byly předány pouze ty připomínky, které byly obdrženy ve fázi konzultace a obsahovaly alfanumerický kód. SRB byl však jediným, kdo mohl prostřednictvím tohoto kódu spojit připomínky s údaji obdrženými ve fázi registrace, zejména s údaji umožňujícími identifikaci autorů připomínek. Alfanumerický kód byl vyvinut pro účely auditu, aby bylo možné ověřit a případně v rámci soudního řízení prokázat, že každá připomínka byla zpracována a řádně zohledněna. Společnost Deloitte neměla přístup k údajům shromážděným ve fázi registrace, během řízení týkajícího se práva být vyslechnut ani ke dni vyhlášení napadeného rozsudku.

29

V říjnu a prosinci 2019 dotčení akcionáři a věřitelé, kteří odpověděli na formulář, zaslali EIOÚ pět stížností podle nařízení 2018/1725. Těmito stížnostmi se dovolávali porušení čl. 15 odst. 1 písm. d) tohoto nařízení z důvodu, že je SRB neinformoval o tom, že údaje shromážděné prostřednictvím odpovědí na otázky ve formuláři budou předány třetím osobám, a sice Deloitte a Banco Santander, a to v rozporu se zněním prohlášení o ochraně osobních údajů.

30

V návaznosti na řízení, během něhož SRB poskytl na žádost EIOÚ různá vysvětlení a stěžovatelé předložili připomínky, přijal EIOÚ dne 24. června 2020 rozhodnutí o pěti stížnostech podaných několika stěžovateli proti Jednotnému výboru pro řešení krizí (věci 2019–947, 2019–998, 2019–999, 2019–1000 a 2019–1122) (dále jen „původní rozhodnutí“). V tomto rozhodnutí měl EIOÚ za to, že SRB porušil článek 15 nařízení 2018/1725 tím, že v prohlášení o důvěrnosti neinformoval stěžovatele o možnosti, že jejich osobní údaje budou předány společnosti Deloitte. EIOÚ proto udělil SRB napomenutí za toto porušení na základě čl. 58 odst. 2 písm. b) tohoto nařízení.

31

Dne 22. července 2020 SRB požádal EIOÚ o přezkum původního rozhodnutí podle čl. 18 odst. 1 rozhodnutí evropského inspektora ochrany údajů ze dne 15. května 2020, kterým se přijímá jednací řád EIOÚ (Úř. věst. 2020, L 204, s. 49). SRB zejména poskytl podrobný popis postupu týkajícího se práva být vyslechnut a analýzy připomínek předložených ve fázi konzultace čtyřmi identifikovanými stěžovateli. Tvrdil, že informace předané společnosti Deloitte nepředstavují osobní údaje ve smyslu čl. 3 bodu 1) nařízení 2018/1725.

32

Dne 5. srpna 2020 EIOÚ informoval SRB, že se s ohledem na nově poskytnuté informace rozhodl přezkoumat původní rozhodnutí a přijme rozhodnutí, které jej nahradí.

33

Dne 24. listopadu 2020, po ukončení přezkumu, během něhož stěžovatelé předložili připomínky a SRB poskytl na žádost EIOÚ dodatečné informace, přijal EIOÚ sporné rozhodnutí.

34

Tímto rozhodnutím EIOÚ změnil původní rozhodnutí následovně:

35

Návrhem došlým soudní kanceláři Tribunálu dne 1. září 2020 podal SRB žalobu znějící jednak na zrušení sporného rozhodnutí a jednak na určení protiprávnosti původního rozhodnutí.

36

Na podporu prvního bodu návrhových žádání uplatnil SRB dva žalobní důvody, z nichž první vycházel z porušení čl. 3 bodu 1) nařízení 2018/1725, protože informace předané společnosti Deloitte nepředstavovaly osobní údaje, a druhý z porušení práva na řádnou správu zakotveného v článku 41 Listiny.

37

Tribunál v napadeném rozsudku odmítl z důvodu nedostatku pravomoci druhý bod návrhových žádání, který směřoval k tomu, aby Tribunál prohlásil původní rozhodnutí za protiprávní v rozsahu, v němž SRB usiloval o vydání deklaratorního rozsudku, a nikoli o zrušení aktu.

38

Tribunál naproti tomu prohlásil první bod návrhových žádání za přípustný. Co se týče věci samé, vyhověl prvnímu žalobnímu důvodu a zrušil sporné rozhodnutí, aniž zkoumal druhý žalobní důvod.

39

Rozhodnutím předsedy Soudního dvora ze dne 20. října 2023 bylo povoleno vedlejší účastenství Evropské komise na podporu SRB. Usnesením předsedy Soudního dvora ze dne 29. listopadu 2023 bylo povoleno vedlejší účastenství Evropskému sboru pro ochranu osobních údajů na podporu návrhových žádání EIOÚ.

40

EIOÚ, podporovaný Evropským sborem pro ochranu osobních údajů, navrhuje, aby Soudní dvůr:

41

SRB, podporovaný Komisí, navrhuje, aby Soudní dvůr:

42

Na podporu svého kasačního opravného prostředku EIOÚ, podporovaný Evropským sborem pro ochranu osobních údajů, uplatňuje dva důvody kasačního opravného prostředku, z nichž první vychází z porušení čl. 3 bodů 1) a 6) nařízení 2018/1725, jak je vykládán Soudním dvorem, a druhý z porušení čl. 4 odst. 2 a čl. 26 odst. 1 tohoto nařízení.

43

V rámci prvního důvodu kasačního opravného prostředku EIOÚ v podstatě tvrdí, že se Tribunál tím, že rozhodl, že EIOÚ ve sporném rozhodnutí nesprávně dospěl k závěru, že informace dotčené v projednávané věci představují osobní údaje, dopustil nesprávného právního posouzení při výkladu čl. 3 bodů 1) a 6) nařízení 2018/1725. Uvedený důvod kasačního opravného prostředku se člení na dvě části. První část se týká podmínky stanovené v čl. 3 bodu 1) tohoto nařízení, podle níž se jedná o informace „o“ fyzické osobě, a druhá část se týká podmínky stanovené v témže ustanovení vztahující se k „identifikovatelnosti“ této osoby.

44

V první části prvního důvodu kasačního opravného prostředku EIOÚ tvrdí, že na rozdíl od toho, jak Tribunál rozhodl v bodech 60 až 74 napadeného rozsudku, se u informací předaných společnosti Deloitte jednalo o informace o fyzické osobě ve smyslu čl. 3 bodu 1) nařízení 2018/1725.

45

V první řadě EIOÚ tvrdí, že na rozdíl od toho, co vyplývá z bodu 70 napadeného rozsudku, orgány pro ochranu údajů nemohou být v žádném případě povinny zkoumat obsah, účel ani účinky informací za účelem ověření, zda se jedná o informace o fyzické osobě. Podle EIOÚ nelze takový přezkum požadovat zejména v souvislosti s připomínkami, které SRB předal společnosti Deloitte, jelikož podle něj bylo jasné, že tyto připomínky jsou „o“ fyzické osobě, jelikož vyjadřují osobní stanovisko některých věřitelů a akcionářů Banco Popular k jejich případnému nároku na odškodnění podle čl. 76 odst. 1 písm. e) nařízení SRMR.

46

V druhé řadě EIOÚ tvrdí, že na rozdíl od konstatování uvedeného v bodě 71 napadeného rozsudku vycházel pro učinění závěru o existenci osobních údajů nejen z povahy připomínek předaných společnosti Deloitte, ale rovněž z okolnosti, že této společnosti byl předán i alfanumerický kód.

47

Ve třetí řadě EIOÚ tvrdí, že se v napadeném rozsudku vyskytují rozpory, jelikož Tribunál v bodě 7 tohoto rozsudku uvedl, že samotným cílem připomínek předaných společnosti Deloitte bylo umožnit konkrétním fyzickým osobám, a sice dotčeným akcionářům a věřitelům, uplatnit jejich právo být vyslechnut za účelem případného odškodnění podle čl. 76 odst. 1 písm. e) nařízení SRMR. V rozporu s tímto prvním konstatováním Tribunál dále v bodě 73 uvedeného rozsudku podle EIOÚ rozhodl, že EIOÚ vycházel z domněnek, podle kterých všechny připomínky předané společnosti Deloitte představují osobní údaje, aniž prokázal, že tyto připomínky jsou informacemi o fyzických osobách.

48

SRB, podporovaný Komisí, tvrdí, že tato argumentace musí být odmítnuta.

49

V první řadě podle judikatury vycházející z rozsudků ze dne 20. prosince 2017, Nowak (C‑434/16, EU:C:2017:994, body 34 a 35), a ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF (C‑487/21, EU:C:2023:369, body 23 a 24), mohou objektivní či subjektivní informace ve formě názoru nebo hodnocení představovat osobní údaje pod podmínkou, že jsou „o“ dotčené osobě. Kromě toho jde podle této judikatury o informaci o identifikované nebo identifikovatelné fyzické osobě, pokud vzhledem ke svému obsahu, účelu nebo účinku souvisí s identifikovatelnou osobou. Tribunál tak podle SRB, podporovaného Komisí, v bodech 70 až 74 napadeného rozsudku právem rozhodl, že EIOÚ nerespektoval uvedenou judikaturu tím, že pouze uvedl, že připomínky předané společnosti Deloitte odrážejí názory nebo stanoviska dotčených akcionářů a věřitelů, a tedy aniž přezkoumal, zda tyto připomínky svým obsahem, účelem nebo účinkem souvisely s identifikovatelnou osobou.

50

V druhé řadě má SRB, podporovaný Komisí, za to, že tvrzení EIOÚ, podle kterého povaha uvedených připomínek jako osobních údajů nutně vyplývá z jejich účelu, představuje nové skutkové tvrzení předložené poprvé před soudem rozhodujícím o kasačním opravném prostředku, které je z tohoto důvodu nepřípustné. V každém případě je toto tvrzení irelevantní, jelikož EIOÚ tento bod ve sporném rozhodnutí nepřezkoumal.

51

Pokud jde ve třetí řadě o údajný rozpor v odůvodnění mezi body 7 a 73 napadeného rozsudku, SRB tvrdí, že popis uvedený v bodě 7 napadeného rozsudku neobsahuje žádnou informaci o obsahu, účelu nebo účinku připomínek předaných společnosti Deloitte, a tudíž neodporuje závěru uvedenému v bodě 73 uvedeného rozsudku.

52

Úvodem je třeba uvést, že definice pojmu „osobní údaje“ uvedená v čl. 3 bodu 1) nařízení 2018/1725 je v podstatě totožná s definicí uvedenou v čl. 4 bodu 1) GDPR, která má v podstatě totožný rozsah jako definice uvedená v čl. 2 písm. a) směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355). Aby bylo zajištěno jednotné a soudržné uplatňování unijního práva, je tedy třeba zajistit totožný výklad čl. 3 bodu 1) nařízení 2018/1725, čl. 4 bodu 1) GDPR a čl. 2 písm. a) směrnice 95/46 (v tomto smyslu viz rozsudky ze dne 7. března 2024, OC v. Komise,C‑479/22 P, EU:C:2024:215, bod 43, jakož i ze dne 7. března 2024, IAB Europe,C‑604/22, EU:C:2024:214, bod 33 a citovaná judikatura).

53

Článek 3 bod 1) nařízení 2018/1725 stanoví, že osobními údaji jsou „veškeré informace o identifikované nebo identifikovatelné fyzické osobě“.

54

Soudní dvůr rozhodl, že použití výrazu „veškeré informace“ v definici pojmu „osobní údaje“ uvedeného v tomto ustanovení a v čl. 4 bodu 1) GDPR odráží cíl unijního normotvůrce přiznat tomuto pojmu široký význam, který potenciálně zahrnuje všechny druhy informací, a to jak objektivní, tak subjektivní, ve formě názoru nebo hodnocení pod podmínkou, že jsou „o“ subjektu údajů (rozsudky ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 23 a citovaná judikatura; ze dne 7. března 2024, OC v. Komise,C‑479/22 P, EU:C:2024:215, bod 45, jakož i ze dne 4. října 2024, Agencia po vpisvanijata,C‑200/23, EU:C:2024:827, bod 130).

55

Informace je o identifikované nebo identifikovatelné fyzické osobě, pokud vzhledem ke svému obsahu, účelu nebo účinku souvisí s identifikovatelnou osobou (rozsudky ze dne 20. prosince 2017, Nowak,C‑434/16, EU:C:2017:994, bod 35; ze dne 7. března 2024, OC v. Komise,C‑479/22 P, EU:C:2024:215, bod 45, a ze dne 7. března 2024, IAB Europe,C‑604/22, EU:C:2024:214, bod 37 a citovaná judikatura).

56

I když v projednávané věci Tribunál v bodě 70 napadeného rozsudku poukázal na to, že EIOÚ nezkoumal obsah, účel ani účinek informací vyplývajících z připomínek předaných společnosti Deloitte, z bodů 71 a 72 napadeného rozsudku nicméně vyplývá, že konstatování, že tyto připomínky odrážejí názory nebo stanoviska subjektů údajů, vyžadovalo, aby EIOÚ předtím přezkoumal obsah uvedených připomínek. Na základě tohoto zjištění EIOÚ dospěl k závěru, že připomínky jsou informacemi o těchto osobách. Podle judikatury připomenuté v bodě 55 tohoto rozsudku přitom přezkum obsahu informace nemusí být nutně doplněn analýzou účelu a účinků této informace, jak naznačuje použití spojky „nebo“ spojující jednotlivá kritéria uvedená v této judikatuře.

57

V bodech 73 a 74 napadeného rozsudku měl však Tribunál za to, že EIOÚ nemohl kvalifikovat informace vyplývající z připomínek předaných společnosti Deloitte jako osobní údaje pouze na základě zjištění, že se jedná o osobní názory nebo stanoviska, ale že měl kromě toho zkoumat obsah, účel a účinek takto vyjádřených názorů, aby určil, zda souvisely s určitou osobou.

58

Toto posouzení Tribunálu nerespektuje zvláštní povahu osobních názorů nebo stanovisek, které jsou jako projevy myšlení určité osoby nutně úzce spjaty s touto osobou.

59

Výklad uvedený v předchozím bodě je podpořen judikaturou vycházející z rozsudku ze dne 20. prosince 2017, Nowak (C‑434/16, EU:C:2017:994), který se týkal mimo jiné korekturních poznámek zkoušejícího týkajících se písemných odpovědí zkoušeného v rámci odborné zkoušky. I když totiž Soudní dvůr v bodech 42 až 44 uvedeného rozsudku posuzoval obsah, účel a účinek těchto korekturních poznámek, aby konstatoval, že jsou informacemi o zkoušeném, kterého se tyto poznámky týkají, měl v podstatě za to, že se uvedené korekturní poznámky vztahují i na zkoušejícího, který je jejich autorem, jelikož vyjadřují jeho názor nebo hodnocení.

60

Z toho vyplývá, že se Tribunál dopustil nesprávného právního posouzení, když v bodech 73 a 74 napadeného rozsudku rozhodl, že EIOÚ měl k učinění závěru, že informace vyplývající z připomínek zaslaných společnosti Deloitte jsou informacemi „o“ osobách, které tyto připomínky předložily, ve smyslu čl. 3 bodu 1) nařízení 2018/1725, přezkoumat obsah, účel nebo účinky uvedených připomínek, jelikož je nesporné, že tyto připomínky vyjadřují osobní názor nebo stanovisko jejich autorů.

61

První části prvního důvodu kasačního opravného prostředku je tudíž třeba vyhovět, aniž je nutné zkoumat argumenty shrnuté v bodech 46 a 47 tohoto rozsudku.

62

V rámci druhé části prvního důvodu kasačního opravného prostředku EIOÚ tvrdí, že Tribunál v bodech 76 až 106 napadeného rozsudku nesprávně rozhodl, že nemůže mít za to, že informace vyplývající z připomínek zaslaných společnosti Deloitte jsou informacemi o „identifikovatelné“ fyzické osobě ve smyslu čl. 3 bodu 1) nařízení 2018/1725. Tato část se skládá ze dvou samostatných výtek.

63

EIOÚ nejprve připomíná, že podle čl. 3 bodu 1) nařízení 2018/1725 musí být správce nebo „jiná osoba“ schopen zjistit totožnost subjektu údajů, o němž jsou dotčené informace. Jestliže není uvedeno, kdo má být schopen tuto identifikaci provést, postačí, aby mohl být identifikován subjekt údajů. V projednávané věci je podle EIOÚ nesporné, že připomínky předané společnosti Deloitte, které měl SRB k dispozici, představují osobní údaje. Kromě toho z čl. 3 bodu 6) tohoto nařízení ve spojení s bodem 16 odůvodnění tohoto nařízení vyplývá, že pseudonymizované údaje představují osobní údaje pouze proto, že existují dodatečné informace, které umožňují jejich přiřazení určité osobě.

64

Podle EIOÚ úvahy uvedené v bodech 90 a 91 napadeného rozsudku dostatečně nezohledňují znění těchto ustanovení, ani rozdíl mezi anonymizací a pseudonymizací. V tomto ohledu Evropský sbor pro ochranu osobních údajů upřesňuje, že podle výkladu Tribunálu by osobní údaje změnily svou povahu, kdyby byly předány subjektu mimo správce, který by neměl k dispozici dodatečné informace umožňující identifikovat subjekt údajů. Tento výklad by takovému správci umožnil neoprávněně vyjmout osobní údaje z působnosti unijního práva v oblasti ochrany takových údajů, a to i v případě, že by zpracování ze strany externího subjektu vystavilo subjekty údajů značným rizikům.

65

EIOÚ dále poukazuje na to, že unijní normotvůrce tím, že zavedl pojem pseudonymizace, objasnil, že k vyloučení osobních údajů z působnosti unijního práva v oblasti ochrany takových údajů nestačí oddělit tyto údaje od dodatečných informací, které umožňují identifikovat subjekt údajů.

66

EIOÚ v poslední řadě připomíná, že pojem „osobní údaje“ musí být vykládán široce, což je podle něj nezbytné k tomu, aby právo v oblasti ochrany údajů mělo užitečný účinek. Vzhledem k tomu, že výklad Tribunálu umožňuje nesprávně považovat pseudonymizované údaje za anonymní údaje, mohl by ohrozit vysokou úroveň ochrany, o kterou usiluje unijní normotvůrce a kterou vyžaduje Listina. Podle Evropského sboru pro ochranu osobních údajů by výklad Tribunálu znamenal také riziko, že pseudonymizované údaje by mohly být zpracovávány bez omezení podle nařízení GDPR a nařízení 2018/1725, včetně jejich sdílení, zveřejňování a předávání do třetích zemí.

67

SRB, podporovaný Komisí, s touto argumentací nesouhlasí.

68

První výtka druhé části prvního důvodu kasačního opravného prostředku je v podstatě založena na úvaze, že takové pseudonymizované údaje, jako jsou připomínky předané společnosti Deloitte, představují v každém případě osobní údaje ze samotného důvodu, že existují informace umožňující identifikovat subjekt údajů, aniž je nutné konkrétně zkoumat, zda je osoba, o které tyto údaje jsou, navzdory pseudonymizaci identifikovatelná.

69

V tomto ohledu je třeba připomenout, že podle samotného znění čl. 3 bodu 1) nařízení 2018/1725 se musí jednat o informaci o „identifikované nebo identifikovatelné“ fyzické osobě, aby mohla být kvalifikována jako osobní údaj ve smyslu tohoto ustanovení. Použití tohoto nařízení tak v zásadě předpokládá posouzení toho, zda je subjekt údajů na základě dotčené informace identifikován nebo identifikovatelný.

70

Tento výklad je podpořen pátou a šestou větou bodu 16 odůvodnění nařízení 2018/1725, podle kterých se definice pojmu „osobní údaje“ nevztahuje na „anonymní informace, totiž informace, které se netýkají identifikované či identifikovatelné fyzické osoby“, ani na „osobní údaje anonymizované tak, že subjekt údajů není nebo již přestal být identifikovatelným“ (obdobně rozsudek ze dne 5. prosince 2023, Nacionalinis visuomenės sveikatos centras,C‑683/21, EU:C:2023:949, bod 57).

71

Pokud jde konkrétně o pseudonymizované údaje, je třeba v první řadě poznamenat, že tyto údaje nejsou uvedeny v právní definici pojmu „osobní údaje“ uvedené v čl. 3 bodu 1) nařízení 2018/1725, ale že jejich vlastnosti vyplývají z čl. 3 bodu 6) tohoto nařízení. Posledně uvedené ustanovení definuje pojem „pseudonymizace“ jako „zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě“.

72

Jak v podstatě uvedl generální advokát v bodech 46 a 48 svého stanoviska, pseudonymizace tedy nepředstavuje prvek definice „osobních údajů“, ale odkazuje na zavedení technických a organizačních opatření, jejichž cílem je snížit riziko, že soubor údajů bude propojen s totožností subjektů údajů. Podle bodu 17 odůvodnění uvedeného nařízení pseudonymizace „může omezit rizika“ takového propojení pro tyto subjekty, a „napomoci správcům a zpracovatelům splnit jejich povinnosti týkající se ochrany údajů“.

73

V druhé řadě ze znění čl. 3 bodu 6) nařízení 2018/1725 vyplývá, že pojem „pseudonymizace“ předpokládá, že existují informace umožňující identifikovat subjekt údajů. Samotná existence takových informací přitom brání tomu, aby údaje, které byly pseudonymizovány, mohly být v každém případě považovány za anonymní údaje vyloučené z působnosti tohoto nařízení.

74

Nic to ve třetí řadě nemění na tom, že požadavek na oddělené uchovávání identifikačních údajů a na technická a organizační opatření, „aby bylo zajištěno, že [osobní údaje] nebudou přiřazeny identifikované či identifikovatelné fyzické osobě“, stanovený v čl. 3 bodu 6) uvedeného nařízení, naznačuje, že pseudonymizace má zejména za cíl zabránit tomu, aby subjekt údajů mohl být identifikován pouze na základě pseudonymizovaných údajů.

75

Pokud jsou totiž taková technická a organizační opatření skutečně zavedena a mohou zabránit přiřazení dotčených údajů subjektu údajů způsobem, že tento subjekt není nebo již přestal být identifikovatelným, může mít pseudonymizace dopad na osobní povahu těchto údajů ve smyslu čl. 3 bodu 1) nařízení 2018/1725.

76

V tomto ohledu je třeba upřesnit, stejně jako je tomu obvykle v případě správce, který provedl pseudonymizaci, že SRB měl v projednávané věci k dispozici dodatečné informace, které mu umožňovaly přiřadit připomínky předané společnosti Deloitte subjektu údajů, takže si tyto připomínky, pokud jde o SRB, zachovaly navzdory pseudonymizaci osobní povahu.

77

Pokud jde o společnost Deloitte, které SRB předal pseudonymizované připomínky, technická a organizační opatření uvedená v čl. 3 bodu 6) nařízení 2018/1725 mohou mít za následek, jak v podstatě tvrdí SRB, že uvedené připomínky nemají, pokud jde o tuto společnost, osobní povahu. To však předpokládá, že společnost Deloitte není schopna tato opatření obejít při jakémkoli zpracování uvedených připomínek, které probíhá pod jejím dohledem. Dále musí být uvedená opatření skutečně taková, že společnosti Deloitte brání přidělit tytéž připomínky subjektu údajů i za použití jiných prostředků k identifikaci, jako je křížová kontrola s jinými s informacemi, a to takovým způsobem, že pokud jde o společnost Deloitte, subjekt údajů není nebo již přestal být identifikovatelný.

78

Tento výklad je podpořen bodem 16 odůvodnění nařízení 2018/1725, ve kterém se poté, co je v první větě uvedeno, že „[z]ásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby“, ve druhé větě uvádí, že „[o]sobní údaje, na něž byla uplatněna pseudonymizace a jež by mohly být přiřazeny fyzické osobě na základě dodatečných informací, by měly být považovány za informace o identifikovatelné fyzické osobě“.

79

V návaznosti na tyto údaje týkající se osobních údajů a pseudonymizovaných údajů se totiž ve třetí větě tohoto bodu odůvodnění upřesňuje, že při určování, zda je fyzická osoba identifikovatelná, je třeba přihlédnout ke „všem prostředkům […], o nichž lze rozumně předpokládat“, že je správce nebo „jiná osoba“ použijí pro „přímou či nepřímou“ identifikaci dané fyzické osoby. Kromě toho ve čtvrté větě tohoto bodu odůvodnění se uvádí, že k určení toho, zda lze rozumně předpokládat použití prostředků k identifikaci fyzické osoby, je třeba vzít v úvahu „všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji“.

80

Jak přitom v podstatě uvedl generální advokát v bodě 51 svého stanoviska, tato upřesnění týkající se posouzení, zda je subjekt údajů identifikovatelný, by byla zbavena veškerého užitečného účinku, pokud by pseudonymizované údaje musely být považovány za osobní údaje pro účely použití nařízení 2018/1725 v každém případě a ve vztahu ke kterékoli osobě.

81

V tomto ohledu je třeba připomenout, že pokud jde o tiskovou zprávu, která obsahovala několik údajů týkajících se určité osoby, aniž ji jmenovitě označila, se Soudní dvůr v rozsudku ze dne 7. března 2024, OC v. Komise (C‑479/22 P, EU:C:2024:215, body 52 až 64) neomezil pouze na konstatování, že unijní orgán, který tuto zprávu zveřejnil, měl k dispozici všechny informace umožňující identifikovat tuto osobu, nýbrž zkoumal i to, zda údaje uvedené ve zmíněné zprávě umožnily dotčené veřejnosti rozumně identifikovat tuto osobu, zejména kombinací těchto údajů s informacemi dostupnými na internetu.

82

Kromě toho Soudní dvůr již rozhodl, že určitý prostředek nelze rozumně použít pro identifikaci subjektu údajů, jestliže se riziko identifikace ve skutečnosti jeví bezvýznamné, jelikož identifikace tohoto subjektu je zakázána zákonem nebo prakticky neproveditelná, například z důvodu skutečnosti, že by vyžadovala nepřiměřené úsilí z časového hlediska a z hlediska ekonomických a lidských zdrojů (v tomto smyslu viz rozsudek ze dne 7. března 2024, OC v. Komise,C‑479/22 P, EU:C:2024:215, bod 51 a citovaná judikatura). Tato judikatura podporuje výklad, podle kterého dodatečné informace umožňující identifikovat subjekt údajů samy o sobě neznamenají, že pseudonymizované údaje musí být v každém případě a ve vztahu ke každé osobě považovány za osobní údaje pro účely použití nařízení 2018/1725.

83

Ve stejném duchu Soudní dvůr v podstatě rozhodl, zejména v rozsudcích ze dne 19. října 2016, Breyer (C‑582/14, EU:C:2016:779, body 44, 47 a 48), a ze dne 7. března 2024, IAB Europe (C‑604/22, EU:C:2024:214, body 43 a 48), že údaje samy o sobě neosobní povahy, shromážděné a uchovávané správcem, se přesto vztahují k identifikovatelné osobě vzhledem k tomu, že správce měl k dispozici zákonné prostředky k získání těchto dodatečných informací umožňujících identifikaci této osoby. Skutečnost, že informace umožňující identifikaci subjektu údajů byly v rukou různých osob, totiž za těchto okolností nemohla účinně zabránit identifikaci subjektu údajů tak, že by pro správce nebyl identifikovatelný.

84

Především podle judikatury vycházející z rozsudku ze dne 9. listopadu 2023, Gesamtverband Autoteile-Handel (Přístup k informacím o vozidlech) (C‑319/22, EU:C:2023:837, body 46 a 49), mohou údaje, které jsou samy o sobě neosobní, nabýt „osobní“ povahu, pokud je správce zpřístupní jiným osobám, které disponují prostředky, u nichž lze rozumně předpokládat, že umožní identifikaci subjektu údajů. Z posledně uvedeného rozsudku konkrétně vyplývá, že v kontextu takového zpřístupnění mají uvedené údaje osobní povahu jak pro tyto jiné osoby, tak nepřímo pro správce.

85

Právě s ohledem na judikaturu připomenutou v předchozím bodě proto EIOÚ nesprávně tvrdí, že okolnost, že pseudonymizované údaje by případně neměly osobní povahu, pokud jde o osoby, kterým správce pseudonymizované údaje předává, by umožnila neoprávněně vyjmout tyto údaje z působnosti unijního práva v oblasti ochrany osobních údajů. Podle této judikatury totiž uvedená okolnost nemá vliv na posouzení osobní povahy těchto údajů zejména v kontextu jejich případného následného předání třetím osobám. Pokud nelze vyloučit, že tyto třetí osoby budou rozumně schopné pseudonymizované údaje přiřadit k subjektu údajů pomocí takových prostředků, jako je křížové porovnání s jinými údaji, které mají k dispozici, je tak třeba tento subjekt údajů považovat za identifikovatelný jak v souvislosti s tímto předáním, tak s jakýmkoli následným zpracováním těchto údajů uvedenými třetími osobami. Za těchto okolností by pseudonymizované údaje měly být považovány za osobní údaje.

86

Z toho vyplývá, že na rozdíl od toho, co tvrdí EIOÚ, pseudonymizované údaje nemusí být v každém případě a ve vztahu ke každé osobě považovány za osobní údaje pro účely použití nařízení 2018/1725, jelikož pseudonymizace může v závislosti na okolnostech projednávané věci účinně zabránit jiným osobám než správci identifikovat subjekt údajů takovým způsobem, že pro ně není nebo již přestal být identifikovatelný.

87

Tento výklad není zpochybněn okolností, které se dovolává EIOÚ, že čtvrtá věta bodu 16 odůvodnění nařízení 2018/1725 se vztahuje na správce nebo „jin[ou] osob[u]“. Ze samotného znění této věty, připomenutého v bodě 79 tohoto rozsudku, totiž vyplývá, že se vztahuje pouze na osoby, které mají nebo mohou mít přístup k prostředkům, o nichž lze rozumně předpokládat, že budou použity k identifikaci subjektu údajů. Jak přitom bylo uvedeno v bodech 75 až 77 tohoto rozsudku, pseudonymizace může v závislosti na okolnostech projednávané věci účinně zabránit jiným osobám než správci identifikovat subjekt údajů tak, že pro ně není nebo již přestal být identifikovatelný.

88

Pokud jde o argument EIOÚ vycházející z cíle zaručit vysokou úroveň ochrany osobních údajů, třebaže znění čl. 3 bodu 1) nařízení 2018/1725 odráží cíl unijního normotvůrce přiznat pojmu „osobní údaje“ široký význam, tento pojem není neomezený, jelikož toto ustanovení zejména vyžaduje, aby byl subjekt údajů identifikován nebo identifikovatelný.

89

Konkrétně, jak uvedl generální advokát v bodě 58 svého stanoviska, nařízení 2018/1725 obsahuje takové povinnosti, jako je povinnost poskytnout subjektu údajů informace, která je stanovená v článku 15 tohoto nařízení, jejichž dodržení předpokládá identifikaci subjektu údajů. Takové povinnosti přitom nemohou být uloženy entitě, která není v žádném případě schopna tuto identifikaci provést.

90

První výtka druhé části prvního důvodu kasačního opravného prostředku musí být tudíž zamítnuta jako neopodstatněná.

91

V rámci druhé výtky druhé části prvního důvodu kasačního opravného prostředku EIOÚ tvrdí, že Tribunál nezohlednil judikaturu vycházející z rozsudku ze dne 19. října 2016, Breyer (C‑582/14, EU:C:2016:779).

92

V první řadě tvrdí, že Tribunál nezohlednil objektivní povahu podmínky „identifikovatelnosti“ subjektu údajů, když v bodech 97, 99 a 100 napadeného rozsudku zejména rozhodl, že EIOÚ měl posoudit, zda připomínky předané společnosti Deloitte představují, pokud jde o tuto společnost, osobní údaje. Podle EIOÚ totiž z bodů 47 a 48 rozsudku ze dne 19. října 2016, Breyer (C‑582/14, EU:C:2016:779), vyplývá, že pouhá existence právních prostředků umožňujících identifikovat subjekt údajů postačuje k závěru, že tuto osobu lze identifikovat. V projednávané věci přitom SRB byl schopen identifikovat subjekty údajů, což je okolnost, kterou Tribunál dostatečně nezohlednil při použití judikatury vycházející z tohoto rozsudku.

93

V druhé řadě EIOÚ tvrdí, že v uvedeném rozsudku byla identifikovatelnost či neidentifikovatelnost subjektu údajů posuzována z hlediska správce, a to vzhledem k neexistenci jakéhokoli vztahu mezi tímto správcem a entitami držícími dodatečné informace umožňující identifikovat tento subjekt. Naproti tomu v projednávané věc není společnost Deloitte správcem a kromě toho je vázána smlouvou uzavřenou se SRB. S ohledem na tyto rozdíly má EIOÚ za to, že nebyl povinen provést úplné posouzení prostředků, u nichž lze rozumně předpokládat, že společnosti Deloitte umožní identifikovat subjekty údajů.

94

V každém případě za předpokladu, že EIOÚ byl nicméně povinen posoudit, zda společnost Deloitte mohla identifikovat autory připomínek, které jí byly předány, EIOÚ tvrdí, že společnosti Deloitte nic nebránilo v tom, aby tuto identifikaci provedla.

95

SRB, podporovaný Komisí, s touto argumentací nesouhlasí.

96

V první řadě Tribunál zejména v bodech 96, 97 a 100 napadeného rozsudku podle jejich názoru správně vycházel z přístupu, podle kterého musí být identifikovatelnost subjektu údajů posuzována ve vztahu ke každé osobě a každému dotčenému správci, který zpracovává relevantní informace. V kontextu povinnosti poskytnout informace stanovené v čl. 15 odst. 1 písm. d) nařízení 2018/1725 musí být přitom toto posouzení provedeno z pohledu příjemce dotčených informací.

97

V druhé řadě SRB tvrdí, že argumentace vycházející z údajných rozdílů mezi projednávanou věcí a věcí, ve které byl vydán rozsudek ze dne 19. října 2016, Breyer (C‑582/14, EU:C:2016:779), je nepřípustná. Má za to, že tato argumentace zpochybňuje skutková zjištění Tribunálu uvedená v bodech 94 a 95 napadeného rozsudku, podle kterých společnost Deloitte neměla přístup k identifikačním údajům nezbytným k identifikaci stěžovatelů.

98

V bodech 97 až 100 napadeného rozsudku Tribunál mimo jiné v podstatě rozhodl, že v souladu s judikaturou vycházející z rozsudku ze dne 19. října 2016, Breyer (C‑582/14, EU:C:2016:779), měl EIOÚ posoudit, zda připomínky předané společnosti Deloitte představují, pokud jde o tuto společnost, osobní údaje. Aby dospěl k tomuto zjištění, Tribunál zejména uvedl, že porušení čl. 15 odst. 1 písm. d) nařízení 2018/1725 konstatované ve sporném rozhodnutí se týkalo předání těchto připomínek ze strany SRB společnosti Deloitte, a nikoli pouze toho, že je SRB držel.

99

Úvodem je třeba připomenout, že čl. 3 bod 1) nařízení 2018/1725 výslovně neupřesňuje hledisko relevantní pro posouzení identifikovatelnosti subjektu údajů, zatímco bod 16 odůvodnění tohoto nařízení odkazuje bez rozdílu na „správce“ nebo „jin[ou] osob[u]“. Z ustálené judikatury kromě toho vyplývá, že k tomu, aby určitý údaj mohl být kvalifikován jako „osobní údaj“, není požadováno, aby se všechny informace umožňující identifikovat subjekt údajů musely nacházet v rukách jediné osoby (v tomto smyslu viz rozsudek ze dne 19. října 2016, Breyer,C‑582/14, EU:C:2016:779, bod 43 a ze dne 7. března 2024, OC v. Komise,C‑479/22 P, EU:C:2024:215, bod 48).

100

Podle judikatury vycházející zejména z rozsudku ze dne 19. října 2016, Breyer (C‑582/14, EU:C:2016:779), připomenuté v bodech 81 až 84 tohoto rozsudku, závisí relevantní hledisko pro posouzení, zda lze subjekt údajů identifikovat, především na okolnostech, kterými se vyznačuje zpracování údajů v každém konkrétním případě.

101

V projednávané věci je třeba připomenout, že EIOÚ ve sporném rozhodnutí konstatoval, že SRB tím, že neuvedl společnost Deloitte jako potenciálního adresáta připomínek v prohlášení o ochraně osobních údajů předloženém v okamžiku jejich shromáždění, porušil svou informační povinnost vyplývající z čl. 15 odst. 1 písm. d) nařízení 2018/1725.

102

Článek 15 odst. 1 tohoto nařízení stanoví informace, které musí správce poskytnout subjektu údajů, pokud jsou osobní údaje získány od subjektu údajů, přičemž upřesňuje, že tyto informace musí být tomuto subjektu poskytnuty „v okamžiku získání osobních údajů“. Ze samotného znění tohoto ustanovení vyplývá, že tyto informace musí správce poskytnout okamžitě, tedy v okamžiku shromáždění těchto údajů (obdobně viz rozsudek ze dne 29. července 2019, Fashion ID,C‑40/17, EU:C:2019:629, bod 104 a citovaná judikatura).

103

Pokud jde konkrétně o informaci o případných příjemcích osobních údajů uvedenou v čl. 15 odst. 1 písm. d) uvedeného nařízení, jedná se o informaci, která má být vedle dalších poskytnuta při shromažďování údajů od subjektu údajů.

104

Článek 14 odst. 1 nařízení 2018/1725 stanoví, že správce přijme vhodná opatření zejména k zajištění toho, aby informace uvedené mimo jiné v článku 15 tohoto nařízení byly subjektu údajů poskytnuty stručným, transparentním, srozumitelným, snadno přístupným způsobem a za použití jasných a jednoduchých jazykových prostředků, aby subjekt údajů mohl plně porozumět informacím, které jsou mu určeny [obdobně viz rozsudky ze dne 4. května 2023, Österreichische Datenschutzbehörde a CRIF, C‑487/21, EU:C:2023:369, bod 38, jakož i ze dne 11. července 2024, Meta Platforms Ireland (Zástupná žaloba),C‑757/22, EU:C:2024:598, body 55 a 56].

105

Význam splnění takové informační povinnosti je rovněž potvrzen v bodě 35 odůvodnění nařízení 2018/1725, ve kterém se v první a druhé větě uvádí, že zásady korektního a transparentního zpracování vyžadují, aby byl subjekt údajů informován o probíhající operaci zpracování a jejích účelech, přičemž je třeba zdůraznit, že správce by měl poskytnout veškeré další informace nezbytné pro zajištění korektního a transparentního zpracování, s přihlédnutím ke konkrétním okolnostem a kontextu, v němž jsou osobní údaje zpracovávány, jak je stanoveno v článku 15 odst. 2 tohoto nařízení [obdobně viz rozsudek ze dne 11. července 2024, Meta Platforms Ireland (Zástupná žaloba),C‑757/22, EU:C:2024:598, bod 57 a citovaná judikatura].

106

Pokud je tedy shromažďování takových údajů od subjektu údajů – jako v projednávané věci v rámci postupu týkajícího se práva být vyslechnut – založeno na souhlasu tohoto subjektu, závisí platnost souhlasu uděleného uvedeným subjektem mimo jiné na tom, zda tento subjekt předtím získal informace o všech okolnostech souvisejících se zpracováním dotčených údajů, na které měl nárok podle článku 15 nařízení 2018/1725 a které mu umožňují udělit souhlas s plnou znalostí věci [obdobně viz rozsudek ze dne 11. července 2024, Meta Platforms Ireland (Zástupná žaloba),C‑757/22, EU:C:2024:598, bod 60].

107

Kromě toho, pokud jde o případ povinnosti subjektu údajů poskytnout správci osobní údaje, v bodě 35 odůvodnění tohoto nařízení ve čtvrté větě je upřesněno, že je důležité, aby subjekt údajů věděl, zda je povinen tyto osobní údaje poskytnout, a o důsledcích jejich případného neposkytnutí, což potvrzuje význam informací požadovaných v článku 15 uvedeného nařízení v samotném okamžiku shromažďování údajů od subjektu údajů.

108

Za těchto okolností je patrné, že povinnost poskytnout subjektu údajů – v okamžiku shromažďování osobních údajů, které se ho týkají – informace o případných příjemcích těchto údajů má zejména za cíl umožnit tomuto subjektu, aby se s plnou znalostí věci rozhodl, zda od něj shromážďované osobní údaje poskytne, nebo je naopak odmítne poskytnout.

109

Je třeba dodat, jak v podstatě tvrdila Komise na jednání, že informace týkající se případných adresátů je zajisté rovněž nezbytná k tomu, aby subjekt údajů mohl následně bránit svá práva vůči těmto adresátům. Povinnost poskytnout tyto informace v okamžiku shromažďování osobních údajů však zejména zaručuje, že správce tyto údaje neshromáždí proti vůli subjektu údajů, nebo je dokonce proti jeho vůli nepředá třetím osobám.

110

Z toho vyplývá, jak uvedl generální advokát v bodě 69 svého stanoviska, že informační povinnost stanovená v čl. 15 odst. 1 písm. d) nařízení 2018/1725 je součástí právního vztahu mezi subjektem údajů a správcem, a z tohoto důvodu jsou jejím předmětem informace související s tímto subjektem, tak jak byly předány tomuto správci, tedy před jakýmkoli případným předáním třetí straně.

111

Je tudíž třeba mít za to, že pro účely uplatnění informační povinnosti stanovené v čl. 15 odst. 1 písm. d) nařízení 2018/1725 musí být identifikovatelnost subjektu údajů posuzována v okamžiku shromažďování údajů a z hlediska správce.

112

Z toho vyplývá, jak v podstatě uvedl generální advokát v bodě 79 svého stanoviska, že informační povinnost SRB se v projednávané věci uplatnila před předáním dotčených připomínek a bez ohledu na to, zda měly, pokud jde o společnost Deloitte, po jejich případné pseudonymizaci osobní povahu.

113

Tento výklad není zpochybněn argumentem SRB vycházejícím ze znění čl. 15 odst. 1 písm. d) nařízení 2018/1725, které odkazuje na „příjemce […] osobních údajů“. Jak totiž vyplývá z bodů 102 až 108 tohoto rozsudku, toto ustanovení upravuje informační povinnost, kterou má správce v okamžiku shromažďování takových údajů. Otázka, zda správce v tomto okamžiku splnil svou informační povinnost, přitom nemůže záviset na možnostech identifikace subjektu údajů, kterými případně může disponovat případný příjemce po dalším předání dotčených údajů.

114

Jak v podstatě uvedl generální advokát v bodě 77 svého stanoviska, argumentace SRB, podle níž je při kontrole dodržení této informační povinnosti třeba vycházet z pohledu adresáta, by vedla k odložení této kontroly v čase. Vzhledem k tomu, že by se uvedená kontrola nutně týkala osobních údajů, které již byly příjemci předány, přehlíží tato argumentace i předmět informační povinnosti, která je nerozlučně spjata se vztahem mezi správcem a subjektem údajů.

115

Tribunál se tudíž dopustil nesprávného právního posouzení, když v bodech 97, 98, 100, 101 a 103 až 105 napadeného rozsudku rozhodl, že pro účely posouzení, zda SRB splnil svou informační povinnost podle čl. 15 odst. 1 písm. d) nařízení 2018/1725, měl EIOÚ posoudit, zda připomínky předané společnosti Deloitte představují osobní údaje, pokud jde o tuto společnost.

116

Z toho vyplývá, že aniž je třeba zkoumat argumenty EIOÚ shrnuté v bodech 93 a 94 tohoto rozsudku, druhé výtce druhé části prvního důvodu kasačního opravného prostředku musí být vyhověno.

117

Vzhledem k tomu, že první důvod kasačního opravného prostředku je v první části a ve druhé výtce druhé části opodstatněný, není důvodné zkoumat druhý důvod kasačního opravného prostředku EIOÚ, vycházející z porušení čl. 4 odst. 2 a čl. 26 odst. 1 nařízení 2018/1725.

118

Vzhledem k tomu, že prvnímu důvodu kasačního opravného prostředku bylo vyhověno, je třeba napadený rozsudek zrušit.

119

V souladu s čl. 61 prvním pododstavcem druhou větou statutu Soudního dvora Evropské unie může Soudní dvůr v případě, že zruší rozhodnutí Tribunálu, vydat sám konečné rozhodnutí ve věci, pokud to soudní řízení dovoluje.

120

V projednávané věci je spor ve stavu, v němž soudní řízení dovoluje rozhodnout o prvním žalobním důvodu žaloby, vycházejícím z toho, že EIOÚ údajně porušil čl. 3 bod 1) nařízení 2018/1725, protože informace předané společnosti Deloitte nepředstavovaly osobní údaje. S ohledem na úvahy uvedené v bodech 58 až 60 tohoto rozsudku totiž EIOÚ mohl mít za to, aniž se dopustil nesprávného právního posouzení, že připomínky předané společnosti Deloitte jsou informacemi o fyzických osobách, a sice o autorech těchto připomínek. Dále, jak bylo uvedeno v bodě 111 tohoto rozsudku, v rámci uplatnění informační povinnosti stanovené v čl. 15 odst. 1 písm. d) tohoto nařízení musí být identifikovatelnost subjektu údajů posuzována z hlediska správce. Mezi účastníky řízení přitom není sporu o tom, že SRB měl jakožto správce k dispozici všechny informace nezbytné k identifikaci autorů uvedených připomínek. Z výše uvedeného vyplývá, že sporné informace představují na rozdíl od toho, co tvrdí SRB, osobní údaje. První žalobní důvod žaloby musí být tudíž zamítnut jako neopodstatněný.

121

Naproti tomu, pokud jde o druhý žalobní důvod žaloby, spor není ve stavu, v němž by o něm soudní řízení dovolovalo rozhodnout, jelikož tento žalobní důvod zahrnuje posouzení skutkového stavu, které Tribunál neprovedl.

122

Proto je třeba vrátit věc Tribunálu za účelem přezkumu druhého žalobního důvodu.

123

Vzhledem k tomu, že se věc vrací zpět Tribunálu, je třeba rozhodnout, že o nákladech řízení souvisejících s řízením o kasačním opravném prostředku bude rozhodnuto později.

Z těchto důvodů Soudní dvůr (první senát) rozhodl takto: