1.

Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) har med sin appel nedlagt påstand om ophævelse af Rettens dom af 26. april 2023(Afviklingsinstansen mod EDPS) (T-557/20, herefter den appellerede dom, EU:T:2023:219), hvorved den annullerede EDPS’ reviderede afgørelse af 24. november 2020 (herefter »den omtvistede afgørelse«) vedrørende fem klager fremsat af aktionærer og kreditorer, der var berørt af afviklingen af banken Banco Popular Español SA (herefter »Banco Popular«), og som klagede over, at de ikke var blevet underrettet om videregivelsen af deres personoplysninger.

2.

Den foreliggende sag giver Domstolen lejlighed til i forbindelse med pseudonymiserede oplysninger at præcisere begrebet »personoplysninger« og de forpligtelser, der følger heraf med henblik på at opfylde kravene om en rimelig og gennemsigtig behandling af oplysningerne.

3.

De vigtigste bestemmelser i forordning (EU) 2018/1725 ( 2 ), der er relevante i forbindelse med denne appel, er anført nedenfor.

4.

Forordningens 16. og 17. betragtning har følgende ordlyd:

5.

Nævnte forordnings artikel 3, der har overskriften »Definitioner«, bestemmer i nr. 1) og 6):

»I denne forordning forstås ved:

[...]

6.

Samme forordnings artikel 4 med overskriften »Principper for behandling af personoplysninger« fastsætter i stk. 1, litra a), og stk. 2:

»1.   Personoplysninger skal:

[…]

2.   Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).«

7.

Artikel 15 i forordning 2018/1725 med overskriften »Oplysningspligt ved indsamling af personoplysninger hos den registrerede« bestemmer i stk. 1, litra d):

»Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:

[...]

[...]«

8.

Den 7. juni 2017 vedtog Den Fælles Afviklingsinstans (Afviklingsinstansen) en afviklingsordning for Banco Popular på grundlag af Europa-Parlamentets og Rådets forordning (EU) nr. 806/2014 af 15. juli 2014 om ensartede regler og en ensartet procedure for afvikling af kreditinstitutter og visse investeringsselskaber inden for rammerne af en fælles afviklingsmekanisme og en fælles afviklingsfond og om ændring af forordning (EU) nr. 1093/2010 ( 3 ), som blev godkendt samme dag ved Europa-Kommissionens afgørelse ( 4 ), hvilket rent konkret betyder, at bankens kapitalinstrumenter blev nedskrevet eller konverteret og overført via overdragelse af aktier.

9.

I overensstemmelse med artikel 20, stk. 16-18, i forordning nr. 806/2014 betroede Afviklingsinstansen Deloitte som en »uafhængig person« ( 5 ) opgaven med at foretage en værdiansættelse af forskellen i behandlingen med henblik på at fastslå, om de berørte aktionærer og kreditorer ville have modtaget en mere gunstig behandling, hvis instituttet havde været genstand for en almindelig insolvensbehandling.

10.

Deloitte sendte den 14. juni 2018 denne værdiansættelse af forskellen i behandlingen (herefter »værdiansættelse 3«) til Afviklingsinstansen. I en foreløbig afgørelse oplyste Afviklingsinstansen, at den med henblik på at kunne træffe en endelig afgørelse om, hvorvidt der skulle betales kompensation til de aktionærer og kreditorer, der var berørt af afviklingen af Banco Popular, i henhold til artikel 76, stk. 1, litra e), i forordning 806/2014, ville iværksætte en procedure vedrørende retten til at blive hørt, herunder en første tilmeldingsfase med henblik på at kontrollere, at de parter, der har tilkendegivet deres interesse, var berettigede til at modtage kompensation, og en anden høringsfase, i hvilken de berørte aktionærer og kreditorer fremsatte deres bemærkninger til Afviklingsinstansens foreløbige afgørelse, der var vedhæftet værdiansættelse 3.

11.

De oplysninger, der blev indsamlet i tilmeldingsfasen, nemlig bevis for deltagernes identitet og for ejendomsretten til nedskrevne eller konverterede og overførte kapitalinstrumenter i Bank Banco Popular, var tilgængelige for et begrænset antal ansatte i Afviklingsinstansen, der var ansvarlige for behandlingen af disse oplysninger med henblik på at fastslå, om deltagerne var kvalificerede. Disse oplysninger var ikke synlige for de ansatte i Afviklingsinstansen, der var ansvarlige for behandlingen af de bemærkninger, der blev modtaget i høringsfasen, hvorunder de pågældende kun modtog bemærkninger identificeret med en alfanumerisk kode ( 6 ), som blev tildelt alle de bemærkninger, der blev indgivet ved hjælp af formularen.

12.

Efter aggregering, automatisk filtrering og kategorisering af bemærkningerne sendte Afviklingsinstansen de således filtrerede, kategoriserede og aggregerede bemærkninger vedrørende værdiansættelse 3 til Deloitte ( 7 ). De bemærkninger, der blev overført til Deloitte, vedrørte udelukkende de bemærkninger, der var blevet fremsat i høringsfasen, og var forsynet med en alfanumerisk kode udviklet for at gøre det muligt for Afviklingsinstansen efterfølgende at kontrollere og eventuelt godtgøre, at hver enkelt bemærkning var blevet behandlet og taget behørigt i betragtning. Afviklingsinstansen var den eneste, der ved hjælp af denne kode kunne knytte bemærkningerne til de oplysninger, der var modtaget i tilmeldingsfasen. Deloitte havde ikke og har stadig ikke adgang til databasen med de oplysninger, der blev indsamlet i tilmeldingsfasen.

13.

De berørte aktionærer og kreditorer (herefter »klagerne«) fremsatte i henhold til forordning 2018/1725 fem klager for EDPS med den begrundelse, at den fortrolighedserklæring vedrørende behandling af personoplysninger, som Afviklingsinstansen havde fremsat, ikke indeholdt nogen oplysninger om, at de bemærkninger, der var indhentet ved hjælp af formularen, var blevet fremsendt til Deloitte. De gjorde gældende, at Afviklingsinstansen havde tilsidesat sin oplysningspligt vedrørende behandling af personoplysninger i henhold til denne forordning, der fremgår af samme forordnings artikel 15, stk. 1, litra d).

14.

EDPS traf en foreløbig afgørelse den 24. juni 2020, der efterfølgende blev annulleret efter en anmodning om revurdering fremsat af Afviklingsinstansen og erstattet den 24. november 2020 af den omtvistede afgørelse med følgende ordlyd:

15.

Ved stævning indgivet til Rettens Justitskontor den 1. september 2020 og en anmodning om tilpasning indgivet den 29. januar 2021 anlagde Afviklingsinstansen sag med påstand dels om annullation af den omtvistede afgørelse, dels om, at det fastslås, at EDPS’ foreløbige afgørelse af 24. juni 2020 var ulovlig.

16.

Afviklingsinstansen gjorde til støtte for den første påstand ( 8 ) to anbringender gældende: Det første anbringende om tilsidesættelse af artikel 3, nr. 1), i forordning 2018/1725, for så vidt som de oplysninger, der blev videregivet til Deloitte, ikke var personoplysninger, og det andet anbringende om, at retten til god forvaltning, der er fastsat i artikel 41 i Den Europæiske Unions charter om grundlæggende rettigheder, var blevet tilsidesat.

17.

Ved den appellerede dom antog Retten denne påstand til realitetsbehandling. Hvad angår realiteten tog den det første appelanbringende til følge og annullerede den omtvistede afgørelse uden at behandle det andet anbringende.

18.

Hvad angår det første anbringende fastslog Retten for det første, at EDPS var af den opfattelse, at de oplysninger, der blev videregivet til Deloitte, var »om« en fysisk person som omhandlet i artikel 3, nr. 1), i forordning 2018/1725, idet de var baseret på en formodning, da hverken indholdet af, formålet med eller virkningen af de oplysninger, der blev fremsendt til Deloitte, var blevet undersøgt ( 9 ), hvilket er i strid med Nowak-dommen ( 10 ).

19.

For det andet hvad angår kravet i artikel 3, nr. 1), i forordning 2018/1725 om, at oplysningerne skal vedrøre »en identificeret eller identificérbar« fysisk person, har Retten i den foreliggende sag fastslået, at det tilkom EDPS at undersøge, om de bemærkninger, der blev videregivet til Deloitte, ud fra Deloittes synspunkt var personoplysninger. Det fremgår dog af den appellerede dom, at EDPS blot havde undersøgt muligheden for at genidentificere ophavsmændene til bemærkningerne ud fra Afviklingsinstansens og ikke ud fra Deloittes synspunkt. Da EDPS ikke undersøgte, om Deloitte rådede over lovlige og praktisk gennemførlige midler til at få adgang til de supplerende oplysninger, der var nødvendige for at genidentificere ophavsmændene til bemærkningerne, kunne EDPS kun konkludere, at de oplysninger, der blev fremsendt til Deloitte, udgjorde oplysninger om en »identificerbar fysisk person« som omhandlet i artikel 3, nr. 1), i forordning 2018/1725 ( 11 ).

20.

Ved appelskrift indleveret til Domstolens Justitskontor den 5. juli 2023 har EDPS iværksat appel til prøvelse af den appellerede dom. Ved kendelse afsagt af Domstolens præsident den 29. november 2023 ( 12 ) fik Det Europæiske Databeskyttelsesråd tilladelse til at intervenere til støtte for EDPS’ påstande, og ved afgørelse af 20. oktober 2023 fik Europa-Kommissionen tilladelse til at intervenere til støtte for Afviklingsinstansen.

21.

EDPS har nedlagt følgende påstande:

22.

Det Europæiske Databeskyttelsesråd, der intervenerer til støtte for EDPS, har nedlagt følgende påstande:

23.

Afviklingsinstansen har nedlagt følgende påstande:

24.

Kommissionen, der intervenerer til støtte for Afviklingsinstansen, har nedlagt følgende påstande:

25.

EDPS har til støtte for sin appel, støttet af Det Europæiske Databeskyttelsesråd, fremsat to anbringender. Med det første anbringende bestrides Rettens fortolkning af begrebet »personoplysninger« som omhandlet i artikel 3, stk. 1 og 6, i forordning 2018/1725, således som fortolket i Domstolens praksis. Det andet anbringende vedrører tilsidesættelse af princippet om ansvarlighed, der er fastsat i denne forordnings artikel 4, stk. 2, og artikel 26, stk. 1.

26.

Det første anbringende er opdelt i to led. Det første led vedrører betingelsen om, at de omtvistede oplysninger skal være »om« en fysisk person, og det andet led vedrører betingelsen om, at personen skal være »identificeret eller identificerbar«.

27.

EDPS har støttet af Det Europæiske Databeskyttelsesråd gjort gældende, at Retten begik en fejl, idet den fastslog, at EDPS havde baseret sig på en formodning vedrørende fortolkningen af betingelsen om, at de oplysninger, der blev videregivet til Deloitte, vedrørte en fysisk person som omhandlet i artikel 3, nr. 1), i forordning 2018/1725. Ifølge Retten var en mere indgående undersøgelse ikke nødvendig, henset til de faktiske omstændigheder i sagen.

28.

Afviklingsinstansen har, som Retten fastslog, gjort gældende, at EDPS blot havde anført, at de omtvistede bemærkninger, som klagerne havde fremsat i høringsfasen af proceduren vedrørende retten til at blive hørt, afspejlede deres holdninger eller synspunkter, hvor den burde have undersøgt, om de oplysninger, der blev videregivet til Deloitte, var knyttet til en bestemt person på grund af deres indhold, formål eller virkning, således som det kræves i Nowak-dommen.

29.

Det skal påpeges, at Domstolen gentagne gange har fastslået, at anvendelsen af udtrykket »enhver form for information« i definitionen af begrebet »personoplysninger« afspejler EU-lovgivers hensigt om at give begrebet en bred betydning, således at det potentielt omfatter enhver form for information ( 13 ), både objektiv og subjektiv i form af meningstilkendegivelser eller bedømmelser, forudsat at informationen er »om« den pågældende person.

30.

I denne henseende er information om en identificeret eller identificerbar person, hvis den på grund af sit indhold, formål eller virkning er »knyttet« til en bestemt person ( 14 ).

31.

For så vidt angår meningstilkendegivelser eller bedømmelser som klagernes bemærkninger i den foreliggende sag er det relevant at sondre mellem, om det drejer sig om at undersøge, om de pågældende meningstilkendegivelser eller bedømmelser er »knyttet« til en eller flere personer, der er omhandlet i meningstilkendegivelsen eller bedømmelsen, eller om det, som det er tilfældet i den foreliggende sag, drejer sig om at afgøre, om de er knyttet til ophavsmanden. I førstnævnte tilfælde skal det med henblik på at fastslå, om der er tale om information, der er knyttet til den person, der er genstand for bedømmelsen, undersøges, om vurderingens indhold, formål eller virkning er knyttet til denne person. I det andet tilfælde kan det derimod med henblik på at fastslå, om vurderingen er knyttet til den person, der har fremsat den, formodes, at dette er tilfældet, og at en meningstilkendegivelse eller bedømmelse nødvendigvis er knyttet til ophavsmanden til denne.

32.

I Nowak-dommen drejede det sig således i det væsentlige om at vurdere informationen i en prøvebesvarelse. Der var således to personer involveret, nemlig deltageren og eksaminator. Domstolen undersøgte ganske vist indhold, formål eller virkning af deltageres besvarelse med henblik på heraf at udlede, at de var om vedkommende. Selv om Domstolen hvad angår eksaminators rettelser og kommentarer, der afspejler dennes mening eller bedømmelse ( 15 ), undersøgte indhold, formål eller virkning af informationen i besvarelsen med henblik på at fastslå, at disse bedømmelser var om deltageren, foretog den ikke denne undersøgelse med henblik på at fastslå, at de var oplysninger om den eksaminator, der var ophavsmand til dem ( 16 ). Efter min opfattelse kan det ikke fuldstændigt udelukkes, at en (simpel) formodning kan finde anvendelse, når det drejer sig om at vurdere, om en meningstilkendegivelse eller en bedømmelse eller – som i den foreliggende sag – en bemærkning er »om« ophavsmanden.

33.

Medmindre der fremlægges bevis for det modsatte, kan jeg på denne baggrund konkludere, at de bemærkninger, der er fremsat i den foreliggende sag, eftersom de stammede fra klagerne og afspejlede »deres logik og ræsonnement« og derfor var et udtryk for deres »subjektive holdning«, nødvendigvis var »om« nævnte klagere, uanset formålet med eller virkningen af deres bemærkninger.

34.

Under alle omstændigheder er jeg, selv om der ikke foreligger en sådan formodning i den foreliggende sag, af den opfattelse, at de pågældende bemærkninger er »knyttet« til klagerne som følge af deres indhold, formål og virkning.

35.

Afviklingsinstansen har i denne henseende anført, at argumenterne om formålet med de pågældende bemærkninger og den sammenhæng, som de indgår i, er uvirksomme, eftersom de ikke blev behandlet i den omtvistede afgørelse, og ikke kan antages til realitetsbehandling, eftersom de indeholder en ny faktuel angivelse og under alle omstændigheder er fejlagtige.

36.

Jeg er ikke overbevist af disse argumenter. Den undersøgelse, som EDPS foretog i den omtvistede afgørelse, såvel som Rettens bedømmelse indgår i en retlig sammenhæng, der er blevet taget i betragtning, og hvoraf formålet med og virkningen af de pågældende bemærkninger, der blev fremsat i forbindelse med proceduren vedrørende retten til at blive hørt, klart fremgår. Disse argumenter vedrørende formålet med og virkningen af de pågældende bemærkninger er således virksomme og kan antages til realitetsbehandling.

37.

Hvad angår realiteten fremgår det desuden af de gældende retsforskrifter, at formålet med proceduren vedrørende retten til at blive hørt, inden for rammerne af hvilken de pågældende bemærkninger er blevet fremsat, var at gøre det muligt for de berørte aktionærer og kreditorer at bidrage til proceduren, navnlig for at Afviklingsinstansen kunne råde over alle de oplysninger, der var nødvendige for, at den kunne træffe en endelig afgørelse om, hvorvidt der var behov for at bevilge de aktionærer og kreditorer, der var berørt af afviklingen af Banco Popular, en kompensation henhold til princippet om, at ingen kreditor kan stilles ringere, end hvad der ville have været tilfældet ved en almindelig insolvensbehandling ( 17 ). Desuden kunne disse bemærkninger, når Afviklingsinstansen havde taget hensyn til dem, have en virkning på klagernes interesser og rettigheder til økonomisk kompensation.

38.

Jeg kan på denne baggrund konkludere, at de pågældende bemærkninger i den foreliggende sag er knyttet til de berørte personer, herunder på grund af deres formål og deres virkning.

39.

Jeg kan tilføje, at de pågældende bemærkninger, således som de blev videregivet til Deloitte, ganske vist var blevet »filtreret, kategoriseret og aggregeret«, således at det ikke, som det fremgår af Rettens konstateringer ( 18 ), var muligt at se de individuelle bemærkninger inden for det samme tema. Det kan dog medgives, at indholdet af disse kollektive bemærkninger, selv når de er aggregerede, afspejler personlige holdninger til værdiansættelse 3. De udgør således summen af holdninger, der som sådan udgør information om de personer, der har fremsat dem. Filtreringen, kategoriseringen og aggregeringen af bemærkningerne ændrer ikke ved denne omstændighed, idet det i modsat fald ville være tilstrækkeligt at aggregere flere synspunkter for dermed at undgå betingelsen om, at oplysningen skal vedrøre en fysisk person. Den omstændighed, at det ikke er muligt af alle disse bemærkninger at udlede forskellige individuelle holdninger, kan efter min opfattelse i højere grad tilskrives den anden kumulative betingelse om, at de berørte personer skal være identificerbare, der vil blive behandlet i forbindelse med dette anbringendes andet led, end betingelsen om, at bemærkningen skal være »knyttet« til en fysisk person.

40.

Under disse omstændigheder er jeg af den opfattelse, at Rettens bedømmelse kan anses for at være behæftet med en retlig fejl i denne henseende, eftersom den fastslog, at EDPS ikke havde foretaget den undersøgelse, der kræves i Nowak-dommen, med henblik på at konkludere, at bemærkningerne skulle være »om« fysiske personer, jf. artikel 3, stk. 1, i forordning 2018/1725.

41.

Såfremt Domstolen skulle beslutte sig til at forkaste dette første led og anse de pågældende pseudonymiserede bemærkninger for ikke at vedrøre ophavsmændene hertil, er behandlingen af det andet led overflødig, for så vidt som der i henhold til artikel 3, nr. 1), i forordning 2018/1725 er tale om en nødvendig betingelse for, at der er tale om en personoplysning, der er kumulativ med betingelsen om, at de berørte personer skal være identificerbare, der vil blive behandlet nedenfor.

42.

EDPS og Det Europæiske Databeskyttelsesråd har i det væsentlige gjort gældende, at Retten har begået to fejl, den første vedrørende begrebet »pseudonymisering« og den anden vedrørende fortolkningen af Breyer-dommen ( 19 ), hvilket Afviklingsinstansen og Kommissionen har bestridt.

43.

Dette klagepunkt er et udtryk for, at der findes to meget forskellige tilgange til anvendelsesområdet for databeskyttelsesreglerne. Skal pseudonymiserede oplysninger automatisk inkluderes heri alene med den begrundelse, at de berørte personer forbliver identificerbare, uanset tilgængeligheden af supplerende oplysninger til identifikation, eller skal oplysningerne efter pseudonymiseringen anses for kun at have en personlig karakter for de personer, der med rimelighed kan identificere de berørte personer?

44.

EDPS og Det Europæiske Databeskyttelsesråd har i det væsentlige gjort gældende, at de pseudonymiserede oplysninger forbliver personoplysninger alene med den begrundelse, at de berørte personer forbliver identificerbare, eftersom de oplysninger, der gør det muligt at identificere dem, fortsat findes. Rettens tilgang er fejlagtig, for så vidt som den godtog, at de pseudonymiserede oplysninger blev betragtet som oplysninger, der er blevet gjort anonyme i forhold til modtageren, hvilket indebærer en risiko for beskyttelse af de berørte personer og medfører forvirring med hensyn til pseudonymisering og anonymisering. En sådan tilgang, der er i strid med ordlyden af og formålet med forordning 2018/1725, gør det muligt for den dataansvarlige uberettiget at udelade personoplysninger fra anvendelsesområdet for EU-retten om beskyttelse af sådanne oplysninger.

45.

Afviklingsinstansen og Kommissionen har gjort gældende, at de pseudonymiserede oplysninger fortsat er personoplysninger for den dataansvarlige, der har pseudonymiseret dem, men at det skal undersøges, om de berørte personer er identificerbare for modtagerne. Selv om det ikke i artikel 3, nr. 1), i forordning 2018/1725 præciseres, hvem der skal kunne identificere den registrerede, sammenholdt med 16. betragtning og på baggrund af denne forordnings artikel 15, stk. 1, litra d), der er tale om her, er det desuden modtagerens synspunkt, der er vigtigt. Afviklingsinstansen og Kommissionen er af den opfattelse, at såfremt modtageren ikke modtager personoplysninger, har de berørte personer ingen interesse i at blive informeret om videregivelsen af oplysninger, eftersom deres rettigheder ikke berøres.

46.

Indledningsvis er det hensigtsmæssigt at påpege, at pseudonymisering er en behandling, der anvendes på personoplysninger med henblik på i overensstemmelse med 17. betragtning til forordning 2018/1725 at »mindske risikoen« for, at en række oplysninger kan sættes i forbindelse med en registrerets identitet, og på at »gøre det lettere for dataansvarlige og databehandlere at opfylde deres databeskyttelsesforpligtelser«.

47.

I artikel 3, nr. 6), i forordning 2018/1725 defineres pseudonymisering således som »behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person« ( 20 ).

48.

Pseudonymisering er således ikke et element i definitionen af personoplysninger, der er defineret i artikel 3, nr. 1), i forordning 2018/1725 med hensyn til begrebet den registreredes »identificerbarhed«. Som Kommissionen har anført i sit interventionsindlæg, definerer forordningen i øvrigt »pseudonymisering« med henvisning til proceduren for indførelse af en beskyttelsesforanstaltning eller en teknisk og organisatorisk foranstaltning, men ikke begrebet »pseudonymiserede oplysninger«.

49.

Denne fortolkning bekræftes ved at sammenholde forordningens artikel 3, nr. 6), med 16. betragtning til forordningen, hvori der i første punktum anføres, at »[p]rincipperne om databeskyttelse bør gælde for alle oplysninger om en identificeret eller identificerbar fysisk person«.

50.

16. betragtning til forordning 2018/1725 bør desuden bedømmes mere indgående ( 21 ). Den indeholder således et andet punktum, hvoraf det fremgår, at »[p]ersonoplysninger, der har været genstand for pseudonymisering, og som kan henføres til en fysisk person ved brug af supplerende oplysninger, bør anses for at være oplysninger om en identificerbar fysisk person«. I tredje og fjerde punktum præciseres indholdet af dette krav om identificerbarhed.

51.

Jeg udleder af affattelsen af disse bestemmelser, at der ved pseudonymisering fortsat er mulighed for, at de registrerede ikke er identificerbare, idet 16. betragtning i modsat fald ville være overflødig. Jeg kan tilføje, at de sidste punktummer i denne 16. betragtning om anonymisering bekræfter denne fortolkning, idet de udelukker de anonymiserede oplysninger (eller oplysninger, der er gjort anonyme) fra anvendelsesområdet for forordning 2018/1725 ( 22 ), men udelukker kun pseudonymiserede oplysninger, for så vidt som de registrerede ikke er identificerbare. Såfremt det er umuligt at identificere de pågældende personer, anses disse rent juridisk for at være tilstrækkeligt beskyttet af pseudonymiseringen, uanset den omstændighed, at de supplerende identifikationsoplysninger ikke er blevet fuldstændig slettet.

52.

Det er med andre ord ikke hensigten automatisk at udelade pseudonymiserede oplysninger fra forordningens anvendelsesområde ( 23 ). På baggrund af 16. betragtning til forordningen kan det dog ikke udelukkes, at sådanne oplysninger under visse omstændigheder ikke er omfattet af begrebet personoplysninger.

53.

I modsætning til hvad EDPS har anført, er en sådan tilgang efter min opfattelse i strid med målet om at sikre et højt niveau af beskyttelse af personoplysninger, dels i lyset af kravene om identificerbarhed i de bestemmelser, der finder anvendelse, dels i lyset af fortolkningen af disse i retspraksis.

54.

For det første henvises der således i 16. betragtning til forordning 2018/1725 til, om den dataansvarlige »eller en anden person« kan identificere personerne: Dette brede begreb, selv om det ikke er ubegrænset ( 24 ), indgår i beskyttelsen af personoplysninger.

55.

Det fremgår ligeledes af denne 16. betragtning, at alle objektive forhold, der med rimelighed kan anvendes til direkte eller indirekte at identificere en fysisk person, bør tages i betragtning, såsom de omkostninger og den tid, der er nødvendig til identifikation, under hensyntagen til den tilgængelige teknologi på behandlingstidspunktet og den teknologiske udvikling, hvilket udgør en bred og beskyttende definition af personoplysninger.

56.

For det andet muliggør fortolkningen i retspraksis af begrebet »identificerbarhed«, der er baseret på risikoen for genidentifikation af de registrerede, ligeledes en bred anvendelse af begrebet »personoplysninger«. Domstolen har således systematisk betegnet oplysninger, der, selv om de er adskilt fra identifikationsoplysningerne, i hænderne på en anden person i den pågældende sammenhæng kunne medføre en risiko for, at de registrerede genidentificeres, som »personoplysninger« ( 25 ).

57.

Det er således ikke kun, hvis risikoen for identifikation er ikke-eksisterende eller ubetydelig ( 26 ), at en oplysning rent juridisk kan undgå at blive betegnet som en »personoplysning«.

58.

EDPS’ og Det Europæiske Databeskyttelsesråds argumenter om de farer, som en for snæver fortolkning af personoplysninger indebærer, er ikke overbevisende. Den omstændighed, at de regler, der følger af forordning 2018/1725, ikke finder anvendelse på personoplysninger om ikke identificerbare personer, forhindrer ikke, at de enheder, der har udvist kritisabel adfærd, ifalder juridisk ansvar, f.eks. i tilfælde af videregivelse af oplysninger, der forvolder skade. Det er derimod efter min opfattelse uforholdsmæssigt at pålægge en enhed, der ikke med rimelighed kan identificere de registrerede, forpligtelser, der følger af forordning 2018/1725 ( 27 ), forpligtelser, som denne enhed rent hypotetisk ikke ville være i stand til at leve op til, eller som netop ville pålægge dem at forsøge at identificere de registrerede.

59.

På baggrund af det ovenstående er jeg af den opfattelse, at det, såfremt tvisten bedømmes i lyset af de oplysninger, der blev videregivet til Deloitte, i modsætning til hvad EDPS har anført, skal klarlægges, om pseudonymiseringen af de pågældende oplysninger var tilstrækkelig solid til, at det kan konkluderes, at de klagere, der er ophavsmænd til de oplysninger, der blev videregivet til Deloitte, ikke med rimelighed kunne identificeres. Hvis Deloitte i denne sammenhæng rådede over rimelige midler til at identificere de pågældende klagere, kunne selskabet med andre ord anses for at behandle personoplysninger.

60.

EDPS’ første klagepunkt bør derfor efter min opfattelse forkastes.

61.

Ifølge EDPS, der støttes af Det Europæiske Databeskyttelsesråd, er de pågældende pseudonymiserede oplysninger personoplysninger for Afviklingsinstansen, og dermed påhviler oplysningspligten over for de registrerede vedrørende modtageren Afviklingsinstansen. EDPS har i det væsentlige gjort gældende, at Retten fortolkede Breyer-dommen, der vedrørte en faktuelt anden situation, forkert.

62.

Ifølge Afviklingsinstansen, der støttes af Kommissionen, er sammenligningen med Breyer-dommen relevant og fører til den konklusion, at oplysningspligten kun finder anvendelse, hvis de overførte oplysninger er personoplysninger ud fra modtagerens (Deloitte) synspunkt, hvilket ikke var blevet godtgjort i den foreliggende sag, som Retten med rette har fastslået.

63.

Efter min opfattelse fører oplysningspligten i henhold til artikel 15, stk. 1, litra d), i forordning 2018/1725 og paralleliteten med Breyer-dommen i den foreliggende sag til en anden løsning end den, som Retten nåede frem til, hvilket jeg vil redegøre for i forbindelse med bedømmelsen af dette klagepunkt.

64.

Artikel 4, stk. 1, litra a), i forordning 2018/1725 indeholder et krav om, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.

65.

Det fremgår navnlig af denne forordnings artikel 15, stk. 1, litra d), at hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige »på det tidspunkt, hvor personoplysningerne indsamles«, den registrerede alle oplysninger om eventuelle modtagere af personoplysningerne. Det fremgår, at den dataansvarlige skal informere herom øjeblikkeligt, dvs. på tidspunktet for indsamlingen af oplysningerne ( 28 ).

66.

Vigtigheden af at overholde en sådan oplysningspligt bekræftes ligeledes af 35. betragtning til forordning 2018/1725, hvori det anføres, at principperne om rimelig og gennemsigtig behandling kræver, at den registrerede informeres om behandlingsaktiviteters eksistens og deres formål, idet det fremhæves, at den dataansvarlige bør give den registrerede eventuelle yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, under hensyntagen til de specifikke omstændigheder og forhold, som personoplysningerne behandles under ( 29 ).

67.

En sådan oplysningspligt er så meget desto vigtigere, som gyldigheden af den registreredes samtykke bl.a. afhænger af, om den registrerede på forhånd har modtaget oplysninger, i lyset af alle omstændighederne i forbindelse med behandlingen af de omhandlede oplysninger, som den registrerede havde ret til i henhold til artikel 14 og 15 i forordning 2018/1725, og som sikrer, at dette samtykke gives med fuldt kendskab til følgerne ( 30 ).

68.

Jeg kan tilføje, at den eneste undtagelse fra denne oplysningspligt, der er fastsat i artikel 15, stk. 4, i forordning 2018/1725, vedrører en situation, hvor den registrerede allerede er bekendt med de pågældende oplysninger.

69.

Jeg kan heraf udlede, at denne oplysningspligt i den foreliggende sag indgår i retsforholdet mellem dels de registrerede, her klagerne, dels Afviklingsinstansen i dens egenskab af databehandler og ikke i forholdet mellem Afviklingsinstansen og modtageren, dvs. Deloitte. Oplysningspligten vedrører således oplysninger som dem, Afviklingsinstansen var i besiddelse af inden videregivelsen til Deloitte. Det er imidlertid ubestridt, at der er tale om personoplysninger, eftersom Afviklingsinstansen er i besiddelse af bemærkningerne og grundlaget for identifikation af de personer, der har fremsat dem.

70.

En sådan tilgang ud fra det »relevante synspunkt« ( 31 ) fører mig således til en anden løsning end Rettens, selv efter en sammenligning med Breyer-dommen.

71.

Det skal anføres, at Breyer i den tvist, der lå til grund for det præjudicielle spørgsmål, der blev forelagt med denne dom, ønskede et forbud mod, at den dataansvarlige (Forbundsrepublikken Tyskland) opbevarede hans dynamiske IP-adresse. Internetudbyderen og ikke den dataansvarlige var i besiddelse af de supplerende oplysninger, der gjorde det muligt at identificere ham via IP-adressen knyttet til hans computer. Spørgsmålet var således, om den dynamiske IP-adresse, som den dataansvarlige var i besiddelse af, kunne betegnes som »personoplysninger« og i forholdet mellem Breyer og den pågældende dataansvarlige følgelig kunne udløse forpligtelser i forbindelse med den dataansvarliges opbevaring af oplysningerne, selv om en anden person end den dataansvarlige var i besiddelse af de oplysninger, der gjorde det muligt at identificere Breyer. Det blev i det væsentlige fastslået, at den dataansvarlige, selv om denne ikke var i besiddelse af supplerende oplysninger til identifikation, med rimelighed kunne få adgang hertil, og den dynamiske IP-adresse blev dermed betegnet som »personoplysninger«.

72.

I den foreliggende sag indgår oplysningspligten, som tidligere anført ( 32 ), i forholdet mellem de registrerede (klagerne) og den dataansvarlige (Afviklingsinstansen): Oplysningspligten indtræder, når Afviklingsinstansen indhenter de pågældende oplysninger, og for så vidt angår oplysningerne om modtageren senest, når denne er kendt. Når dette tidspunkt indtræder, er disse oplysninger imidlertid personoplysninger, som Afviklingsinstansen er i besiddelse af sammen med de supplerende identifikationsoplysninger. Henset til den pågældende oplysningspligt, og henset til det tidspunkt, hvor den indtræder, udgjorde de pågældende oplysninger således personoplysninger, uanset om Deloitte kunne identificere dem eller ej, idet Deloitte ikke var omfattet af retsforholdet mellem klagerne og Afviklingsinstansen, hvilket er det eneste relevante, og heller ikke af den oplysningspligt, der påhviler Afviklingsinstansen.

73.

Det er her, at paralleliteten med Breyer-dommen efter min opfattelse skal sættes i perspektiv.

74.

Det fremgår heraf, at oplysningspligten påhvilede Afviklingsinstansen i dens egenskab af dataansvarlig og som følge af dens forhold til klagerne, hos hvem den havde indhentet de pågældende oplysninger, uanset om de oplysninger, der blev videregivet til Deloitte, kunne betegnes som personoplysninger eller ej.

75.

Afviklingsinstansens argument, der blev genfremsat i retsmødet, om, at modtagerens synspunkt er relevant, eftersom det skal efterprøves, om denne er »modtager af personoplysninger« eller ej, skal på denne baggrund forkastes.

76.

I denne henseende kan ordlyden af artikel 15, stk. 1, litra d), i forordning 2018/1725 om »eventuelle modtagere [...] af personoplysningerne« ganske vist give anledning til forvirring. Denne bestemmelses effektive virkning kræver dog, at de registrerede modtager oplysningerne snarest muligt og forud for nævnte videregivelse af oplysningerne ( 33 ). Selv om Afviklingsinstansen i den foreliggende sag ikke på tidspunktet for indsamling af bemærkningerne havde til hensigt at anmode Deloitte om en udtalelse om, hvorvidt disse bemærkninger ændrede værdiansættelse 3, fremgår det af den ved Retten omtvistede afgørelse, at Deloitte bistod Afviklingsinstansen i forbindelse med proceduren vedrørende retten til at blive hørt ( 34 ). Desuden kan Afviklingsinstansens hensigt om at meddele Deloitte de pseudonymiserede oplysninger anses for at have eksisteret senest på det tidspunkt, hvor det blev besluttet at behandle de pågældende bemærkninger netop med henblik på pseudonymisering af dem ( 35 ), da der i modsat fald ikke ville være nogen grund til at pseudonymisere dem.

77.

Jeg er således af den opfattelse, at en kontrol med overholdelsen af oplysningspligten på det tidspunkt, hvor Afviklingsinstansen videregav oplysningerne til Deloitte, ved at kvalificere de pågældende oplysninger som personoplysninger eller ej ud fra modtageres synspunkt, forskyder tidspunktet for nævnte kontrol. Denne kontrol udskydes dermed fejlagtigt, eftersom den foretages af oplysninger, der allerede er videregivet til modtageren, mens genstanden for oplysningspligten vedrører forholdet mellem Afviklingsinstansen og klagerne og omhandler klagernes samtykke med fuldt kendskab til følgerne forud for videregivelsen.

78.

Hvad angår klagernes samtykke kan deres deltagelse i proceduren vedrørende retten til at blive hørt desuden ganske vist fortolkes som et indirekte samtykke til deling af personoplysningerne med den dataansvarlige, således at der kan tages hensyn til deres bemærkninger. Dette er dog efter min opfattelse ikke tilstrækkeligt til at udgøre et samtykke med fuldt kendskab til følgerne til pseudonymisering af oplysningerne og videregivelse af dem til Deloitte, uden at Afviklingsinstansen på forhånd har oplyst dem herom ( 36 ).

79.

Det følger heraf, at den oplysningspligt, der påhviler Afviklingsinstansen, i den foreliggende sag efter min opfattelse fandt anvendelse før videregivelsen af de pågældende oplysninger, og uanset om der var tale om personoplysninger eller ej, når de var i Deloittes besiddelse.

80.

Endelig er spørgsmålet om, hvorvidt pseudonymiseringen er tilstrækkelig solid og effektiv eller ej, for at afgøre, om de oplysninger, som kom Deloitte i hænde, kan anses for at udgøre personoplysninger eller ej, ikke relevant i lyset af den oplysningspligt, der påhviler Afviklingsinstansen.

81.

Følgelig bør den oplysningspligt, der påhviler Afviklingsinstansen i dens egenskab af dataansvarlig, overholdes i den foreliggende sag, og den appellerede dom bør af denne grund ophæves på grund af en retlig fejl.

82.

Da opfattelsen hos modtageren af de pågældende oplysninger ikke er relevant i forhold til den i artikel 15, stk. 1, litra d), i forordning 2018/1725 omhandlede oplysningspligt, er parternes argumenter vedrørende Deloittes mulighed for med lovlige midler, der er gennemførlige i praksis, at identificere de registrerede, følgelig uvirksomme, og det er ufornødent at undersøge dem.

83.

Såfremt Domstolen ikke er af denne opfattelse, skal det subsidiært anføres, at EDPS i denne henseende har bestridt Rettens konstatering af, at Deloitte ikke havde adgang til identifikationsoplysningerne. EDPS har bl.a. baseret sig på det kontraktforhold vedrørende underleverancer, der bestod mellem Afviklingsinstansen og Deloitte. Afviklingsinstansen og Kommissionen har gjort gældende, at EDPS dermed rejste nye faktuelle spørgsmål, der ikke kan behandles i forbindelse med appellen. Jeg deler denne opfattelse. Den omstændighed, at der findes et kontraktforhold mellem Afviklingsinstansen og Deloitte, der godtgør, at Deloitte har mulighed for at anmode Afviklingsinstansen om at identificere klagerne, er et nyt argument, som Retten i øvrigt på ingen måde har taget stilling til. Det fremgår heraf, at denne argumentation i givet fald skal afvises i henhold til artikel 170, stk. 1, andet punktum, i Domstolens procesreglement, i henhold til hvilken der ikke i appelskriftet må foretages nogen ændring af sagens genstand, som den forelå for Retten ( 37 ).

84.

Med sit andet anbringende om en tilsidesættelse af princippet om ansvarlighed, der er opstillet i artikel 4, stk. 2, og artikel 26, stk. 1, i forordning 2018/1725, har EDPS, støttet af Det Europæiske Databeskyttelsesråd, gjort gældende, at Retten fejlagtigt havde fastslået, at det påhvilede EDPS at godtgøre, at de oplysninger, der blev videregivet til Deloitte, var personoplysninger, i strid med princippet om Afviklingsinstansens ansvar.

85.

På baggrund af det ovenstående, særlig punkt 81 og 82 ovenfor, er jeg af den opfattelse, at det er ufornødent at undersøge det andet anbringende.

86.

Jeg vil derfor kun kort subsidiært redegøre for det.

87.

Vedrørende formaliteten af dette anbringende, som ikke blev rejst for Retten, og som Afviklingsinstansen har bestridt, skal det påpeges, at en appellant er berettiget til at iværksætte en appel ved at fremsætte anbringender, der er afledt af selve den appellerede dom, og som på det retlige plan tilsigter at bestride lovligheden ( 38 ). Dette er efter min opfattelse tilfældet med det foreliggende anbringende, og det kan derfor antages til realitetsbehandling.

88.

Hvad angår realiteten skal det påpeges, at Retten fastslog, at da EDPS ikke havde undersøgt, om Deloitte rådede over lovlige og praktisk gennemførlige midler til at få adgang til de supplerende oplysninger, der var nødvendige for at genidentificere klagerne, kunne EDPS ikke konkludere, at de oplysninger, der blev fremsendt til Deloitte, udgjorde oplysninger om en »identificerbar fysisk person« som omhandlet i artikel 3, nr. 1), i forordning 2018/1725.

89.

EDPS har støttet af Det Europæiske Databeskyttelsesråd i det væsentlige gjort gældende, at Retten burde have efterprøvet, om Afviklingsinstansen, der er den dataansvarlige, havde godtgjort, at de omtvistede oplysninger var blevet anonymiseret over for Deloitte.

90.

Afviklingsinstansen har bestridt denne argumentation og har gjort gældende, at princippet om ansvarlighed kun finder anvendelse på personoplysninger, og at den havde anonymiseret de oplysninger, der blev videregivet til Deloitte i den foreliggende sag.

91.

Kommissionen har gjort gældende, at EDPS i første omgang bærer en rimelig bevisbyrde med hensyn til på grundlag af de tilgængelige beviser at godtgøre, at der er tale om personoplysninger. I anden omgang påhviler det den berørte dataansvarlige at tilbagevise denne konklusion ved at fremlægge supplerende beviser.

92.

Det skal påpeges, at personoplysninger i henhold til artikel 4, stk. 1, litra a), i forordning 2018/1725 skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede. Forordningens artikel 4, stk. 2, fastsætter, at »[d]en dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes«. Det følger således af princippet om ansvarlighed, der er opstillet i forordningens artikel 4, stk. 2, og præciseret i samme forordnings artikel 26, stk. 1, at den dataansvarlige skal være i stand til at godtgøre, at vedkommende overholder de principper for behandling af personoplysninger, der er fastsat i artikel 4, stk. 1 ( 39 ).

93.

Når den dataansvarlige har fremlagt tilstrækkelige beviser herfor, kan denne anses for at have løftet den bevisbyrde, der påhviler vedkommende ( 40 ).

94.

I den foreliggende sag har Afviklingsinstansen gjort flere ting gældende (bl.a. den filtrering, kategorisering og aggregering af bemærkningerne, der er beskrevet i den omtvistede afgørelse og den appellerede dom) med henblik på at godtgøre, at Deloitte umuligt kunne identificere de registrerede, som det kræves i henhold til princippet om ansvarlighed.

95.

EDPS har for Retten gjort en principiel holdning gældende, der består i at sætte sig i Afviklingsinstansens og ikke i Deloittes sted, og har således betegnet de bemærkninger, der blev videregivet til Deloitte, som »personoplysninger«.

96.

Hvis det med henblik på den subsidiære behandling af dette anbringende accepteres, at Deloittes synspunkt var relevant i den foreliggende sag ( 41 ), påhvilede det, som Retten har fastslået, EDPS at godtgøre ( 42 ) den retlige eller tekniske grund til, at den pseudonymiseringsproces, som Afviklingsinstansen havde gennemført i den foreliggende sag, ikke var tilstrækkelig og skulle føre til, at Deloitte blev anset for at behandle personoplysninger.

97.

Jeg er således af den opfattelse, at den appellerede dom i givet fald skal stadfæstes for så vidt angår det andet anbringende.

98.

I henhold til artikel 61, stk. 1, i statutten for Den Europæiske Unions Domstol kan Domstolen, når den giver appellanten medhold, ophæve den af Retten trufne afgørelse. Domstolen kan herefter selv træffe endelig afgørelse, hvis sagen er moden til påkendelse, eller hjemvise den til Retten til afgørelse.

99.

Det første anbringende, som Afviklingsinstansen rejste med henblik på prøvelse af den omtvistede afgørelse ved Retten, vedrører tilsidesættelsen af artikel 3, nr. 1), i forordning 2018/1725. Det fremgår af punkt 63-82 i dette forslag til afgørelse, at Afviklingsinstansen havde tilsidesat den oplysningspligt, der påhviler den i henhold til artikel 15, stk. 1, litra d), i forordning 2018/1725, og den omtvistede afgørelse bør derfor efter min opfattelse stadfæstes.

100.

Det andet anbringende om EDPS’ overtrædelse af retten til god forvaltning i forbindelse med den procedure, der førte til vedtagelsen af den omtvistede afgørelse, er derimod ikke moden til påkendelse.

101.

Afviklingsinstansen har navnlig gjort gældende, at EDPS i forbindelse med den administrative procedure, der gik forud for vedtagelsen af den omtvistede afgørelse, har tilsidesat dens ret til aktindsigt, dens ret til at blive hørt og princippet om processuel ligestilling ved på den ene side at nægte Afviklingsinstansen adgang til sagsakterne og ved på den anden side ikke at meddele den klagernes bemærkninger eller indholdet af disse.

102.

Retten skønnede imidlertid, at det, eftersom det første appelanbringende var blevet taget til følge, var ufornødent at behandle det andet anbringende, der blev rejst for den. Følgelig er dette anbringende, der bl.a. indebærer en faktuel vurdering, således ikke modent til påkendelse. Sagen bør derfor hjemvises til Retten, således at den kan tage stilling hertil, idet afgørelsen om sagsomkostningerne udsættes.

103.

Jeg foreslår på baggrund af det ovenfor anførte, at Domstolen træffer følgende afgørelse: