Υπόθεση T-557/20

Ενιαίο Συμβούλιο Εξυγίανσης (ΕΣΕ)

κατά

Ευρωπαίου επόπτη προστασίας δεδομένων (ΕΕΠΔ)

Απόφαση του Γενικού Δικαστηρίου (όγδοο πενταμελές τμήμα) της 26ης Απριλίου 2023

«Προστασία των δεδομένων προσωπικού χαρακτήρα – Διαδικασία αποζημίωσης των μετόχων και πιστωτών τραπεζικού ιδρύματος που τέθηκε σε καθεστώς εξυγίανσης – Απόφαση του ΕΕΠΔ διαπιστώνουσα την εκ μέρους του ΕΣΕ παράβαση των σχετικών με την προστασία δεδομένων προσωπικού χαρακτήρα υποχρεώσεων που υπέχει – Άρθρο 15, παράγραφος 1, στοιχείο δʹ, του κανονισμού (ΕΕ) 2018/1725 – Έννοια των “δεδομένων προσωπικού χαρακτήρα” – Άρθρο 3, σημείο 1, του κανονισμού 2018/1725 – Δικαίωμα πρόσβασης στον φάκελο»

1. Προσφυγή ακυρώσεως – Πράξεις δεκτικές προσφυγής – Έννοια – Πράξεις παράγουσες δεσμευτικά έννομα αποτελέσματα – Πράξεις μεταβάλλουσες τη νομική κατάσταση του προσφεύγοντος – Αναθεωρημένη απόφαση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) διαπιστώνουσα την εκ μέρους του Ενιαίου Συμβουλίου Εξυγίανσης (ΕΣΕ) παράβαση των σχετικών με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα υποχρεώσεων που υπέχει – Εμπίπτει

   (Άρθρο 263 ΣΛΕΕ· κανονισμός 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, άρθρο 15 § 1, στοιχείο δʹ)

   (βλ. σκέψεις 44-46, 50-54)

2. Θεσμικά όργανα της Ευρωπαϊκής Ένωσης – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός 2018/1725 – Έννοια των δεδομένων προσωπικού χαρακτήρα – Κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο – Διαδικασία σχετικά με το δικαίωμα ακρόασης την οποία κίνησε το Ενιαίο Συμβούλιο Εξυγίανσης (ΕΣΕ) κατόπιν της λήψης μέτρων εξυγίανσης τραπεζικού ιδρύματος – Παρατηρήσεις που υπέβαλαν στο ΕΣΕ οι θιγόμενοι από τα εν λόγω μέτρα μέτοχοι και πιστωτές – Παρατηρήσεις τις οποίες το ΕΣΕ διαβίβασε σε ανεξάρτητο τρίτο με σκοπό την αξιολόγηση – Απόφαση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) διαπιστώνουσα την εκ μέρους του ΕΣΕ παράβαση των υποχρεώσεων που υπέχει σχετικά με την επεξεργασία των δεδομένων των εν λόγω μετόχων και πιστωτών – Ο ΕΕΠΔ δεν εξέτασε το περιεχόμενο, τον σκοπό και τα αποτελέσματα των παρατηρήσεων – Ο ΕΕΠΔ δεν εξέτασε κατά πόσον ο ανεξάρτητος τρίτος διέθετε στην πράξη νόμιμα και πρόσφορα μέσα τα οποία θα του παρείχαν πρόσβαση στις συμπληρωματικές πληροφορίες που απαιτούνται για την επαναταυτοποίηση των συντακτών των διαβιβασθεισών παρατηρήσεων – Ακύρωση της απόφασης του ΕΕΠΔ

   (Κανονισμοί 806/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, άρθρο 20 § 16, και 2018/1725, άρθρο 3, σημείο 1)

   (βλ. σκέψεις 64-75, 94-98, 100-106)

Σύνοψη

Τον Ιούνιο του 2017, το Ενιαίο Συμβούλιο Εξυγίανσης (ΕΣΕ) ενέκρινε, δυνάμει του κανονισμού 806/2014 ( 1 ), καθεστώς εξυγίανσης για το τραπεζικό ίδρυμα Banco Popular Español SA. Προκειμένου να διαπιστωθεί κατά πόσον οι θιγόμενοι από τη δράση εξυγίανσης μέτοχοι και πιστωτές θα είχαν τύχει καλύτερης μεταχείρισης εάν το εν λόγω τραπεζικό ίδρυμα είχε τεθεί υπό κανονική διαδικασία αφερεγγυότητας, ο ως άνω κανονισμός επιβάλλει τη μεσολάβηση ανεξάρτητου τρίτου προκειμένου να αποτιμήσει τη διαφορά ως προς τη μεταχείριση ( 2 ). Το ΕΣΕ ανέθεσε τη διενέργεια της εν λόγω αποτίμησης στην Deloitte.

Κατόπιν της διενέργειας της αποτίμησης, το ΕΣΕ εξέδωσε προκαταρκτική απόφαση για το αν πρέπει να χορηγηθεί αποζημίωση στους θιγόμενους μετόχους και πιστωτές και, προκειμένου να μπορέσει να λάβει τελική απόφαση, κίνησε τη σχετική με το δικαίωμα ακρόασης διαδικασία ( 3 ). Κατά τη διάρκεια της εν λόγω διαδικασίας, η οποία διεξήχθη σε δύο φάσεις, οι θιγόμενοι μέτοχοι και πιστωτές κλήθηκαν, αρχικά, να εκδηλώσουν το ενδιαφέρον τους για την άσκηση του δικαιώματος ακρόασης μέσω εντύπου ηλεκτρονικής εγγραφής, καθώς και να προσκομίσουν τα δικαιολογητικά για την άσκηση του δικαιώματός τους (φάση εγγραφής). Εν συνεχεία, οι θιγόμενοι μέτοχοι και πιστωτές των οποίων το καθεστώς είχε ελεγχθεί από το ΕΣΕ θα μπορούσαν να υποβάλουν εγγράφως τις παρατηρήσεις τους σχετικά με την προκαταρκτική απόφαση του ΕΣΕ και την αποτίμηση (φάση διαβούλευσης). Κατά την έναρξη της φάσης εγγραφής, το ΕΣΕ δημοσίευσε στον ιστότοπο εγγραφής στη σχετική με το δικαίωμα ακρόασης διαδικασία δήλωση εμπιστευτικότητας σχετικά με την επεξεργασία στην οποία θα υποβάλλονταν τα δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της εν λόγω διαδικασίας.

Τα δεδομένα που συνελέγησαν κατά τη φάση εγγραφής ήταν προσβάσιμα σε περιορισμένο αριθμό υπαλλήλων του ΕΣΕ οι οποίοι ήταν επιφορτισμένοι με την επεξεργασία των εν λόγω δεδομένων προκειμένου να προκειμένου να εκτιμηθεί κατά πόσον οι συμμετέχοντες είχαν πράγματι την ιδιότητα του θιγόμενου μετόχου ή πιστωτή. Στα εν λόγω δεδομένα δεν είχαν πρόσβαση τα μέλη του προσωπικού του ΕΣΕ που ήταν επιφορτισμένα με την επεξεργασία των παρατηρήσεων που ελήφθησαν κατά τη φάση της διαβούλευσης, κατά την οποία ελήφθησαν μόνο παρατηρήσεις ταυτοποιήσιμες με αναφορά σε αλφαριθμητικό κωδικό ο οποίος αντιστοιχούσε σε κάθε παρατήρηση που υποβλήθηκε μέσω του εντύπου.

Αφού συγκέντρωσε, υπέβαλε σε αυτόματο φιλτράρισμα και κατηγοριοποίησε τις παρατηρήσεις, το ΕΣΕ διαβίβασε τις σχετικές με την αποτίμηση παρατηρήσεις στην Deloitte προκειμένου να τις αξιολογήσει. Στην Deloitte διαβιβάστηκαν μόνον οι παρατηρήσεις που είχαν ληφθεί κατά τη φάση της διαβούλευσης και έφεραν αλφαριθμητικό κωδικό. Το ΕΣΕ ήταν το μόνο που μπορούσε να συσχετίσει, μέσω του εν λόγω κωδικού, τις παρατηρήσεις με τα δεδομένα που έλαβε κατά τη φάση της εγγραφής. Η Deloitte δεν είχε και εξακολουθεί να μην έχει πρόσβαση στη βάση των δεδομένων που συνελέγησαν κατά τη φάση της εγγραφής.

Στο πλαίσιο αυτό, δεδομένου ότι η σχετική με την επεξεργασία δεδομένων προσωπικού χαρακτήρα δήλωση εμπιστευτικότητας του ΕΣΕ δεν ανέφερε ότι τα δεδομένα που συνελέγησαν μέσω του εντύπου θα διαβιβάζονταν σε τρίτους, θιγόμενοι μέτοχοι και πιστωτές (στο εξής: καταγγέλλοντες) υπέβαλαν, δυνάμει του κανονισμού 2018/1725 ( 4 ), πέντε καταγγελίες στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ). Υποστήριξαν ότι το ΕΣΕ παρέβη την υποχρέωση ενημέρωσης σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που υπέχει από τον εν λόγω κανονισμό ( 5 ).

Ο ΕΕΠΔ εξέδωσε αρχική απόφαση η οποία, κατόπιν αιτήματος επανεξέτασης που υπέβαλε το ΕΣΕ, καταργήθηκε και αντικαταστάθηκε από αναθεωρημένη απόφαση με την οποία ο ΕΕΠΔ έκρινε ότι το ΕΣΕ είχε παραβεί τον εν λόγω κανονισμό καθόσον δεν είχε ενημερώσει τους καταγέλλοντες, με τη δήλωση εμπιστευτικότητας, για το ενδεχόμενο να κοινοποιηθούν τα δεδομένα τους προσωπικού χαρακτήρα στην Deloitte. Κατόπιν τούτου, το ΕΣΕ άσκησε προσφυγή ενώπιον του Γενικού Δικαστηρίου με αίτημα, μεταξύ άλλων, την ακύρωση της αναθεωρημένης απόφασης του ΕΕΠΔ.

Αποφαινόμενο σε πενταμελή σύνθεση, το Γενικό Δικαστήριο δέχεται την προσφυγή του ΕΣΕ και ακυρώνει την αναθεωρημένη απόφαση του ΕΕΠΔ, αποσαφηνίζοντας την έννοια των δεδομένων προσωπικού χαρακτήρα υπό το πρίσμα των αποφάσεων Nowak ( 6 ) και Breyer ( 7 ) που εξέδωσε το Δικαστήριο.

Εκτίμηση του Γενικού Δικαστηρίου

Με την απόφασή του, το Γενικό Δικαστήριο παρέχει διευκρινίσεις σχετικά με τη διαλαμβανόμενη στο άρθρο 3, σημείο 1, του κανονισμού 2018/1725 έννοια των δεδομένων προσωπικού χαρακτήρα, η οποία ορίζεται ως «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο». Μια πληροφορία συνιστά δεδομένο προσωπικού χαρακτήρα εφόσον πληρούνται σωρευτικώς δύο προϋποθέσεις, και συγκεκριμένα, αφενός, όταν η πληροφορία αυτή «αφορά» φυσικό πρόσωπο και, αφετέρου, όταν το εν λόγω φυσικό πρόσωπο είναι «ταυτοποιημένο ή ταυτοποιήσιμο».

Πρώτον, το Γενικό Δικαστήριο εξετάζει αν ο ΕΕΠΔ ορθώς εκτίμησε ότι οι πληροφορίες που διαβιβάστηκαν στην Deloitte «αφορούσαν» φυσικό πρόσωπο κατά την έννοια της εν λόγω διάταξης.

Προκαταρκτικώς, το Γενικό Δικαστήριο διαπιστώνει ότι, με την αναθεωρημένη απόφαση, ο ΕΕΠΔ χαρακτήρισε ως «δεδομένα προσωπικού χαρακτήρα» το σύνολο των παρατηρήσεων που διατύπωσαν οι θιγόμενοι μέτοχοι και πιστωτές στο πλαίσιο της φάσης διαβούλευσης χωρίς να περιορίσει την εκτίμησή του στις πληροφορίες που διαβιβάστηκαν στην Deloitte. Στο μέτρο, όμως, που η διαπιστωθείσα με την αναθεωρημένη απόφαση παράβαση εκ μέρους του ΕΣΕ των υποχρεώσεων που υπέχει από τον κανονισμό 2018/1725 σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα αφορούσε αποκλειστικώς το γεγονός ότι το ΕΣΕ δεν ανέφερε στη δήλωση εμπιστευτικότητας ότι η Deloitte ήταν δυνητικός αποδέκτης ορισμένων δεδομένων, το Γενικό Δικαστήριο εκτιμά ότι πρέπει να εξεταστεί μόνον αν οι πληροφορίες που διαβιβάστηκαν στην Deloitte ήταν δεδομένα προσωπικού χαρακτήρα κατά την έννοια του άρθρου 3, σημείο 1, του κανονισμού 2018/1725.

Στο πλαίσιο αυτό, το Γενικό Δικαστήριο υπενθυμίζει ότι σκοπός του νομοθέτη ήταν να προσδώσει ευρεία έννοια στον όρο δεδομένα προσωπικού χαρακτήρα, η οποία δεν περιορίζεται στις ευαίσθητες ή προσωπικού χαρακτήρα πληροφορίες, αλλά μπορεί να καλύπτει ενδεχομένως κάθε είδος πληροφοριών, τόσο αντικειμενικών όσο και υποκειμενικών, όπως οι γνώμες ή εκτιμήσεις, υπό την προϋπόθεση ότι οι πληροφορίες αυτές αφορούν το ενδιαφερόμενο άτομο.

Συναφώς, το Γενικό Δικαστήριο διαπιστώνει επίσης ότι, με την προπαρατεθείσα απόφαση Nowak, το Δικαστήριο είχε ήδη την ευκαιρία να κρίνει ότι η προϋπόθεση αυτή πληρούται όταν, λόγω του περιεχομένου της, του σκοπού της ή του αποτελέσματός της, η πληροφορία συνδέεται με συγκεκριμένο πρόσωπο. Στην αναθεωρημένη όμως απόφαση ο ΕΕΠΔ δεν εξέτασε ούτε το περιεχόμενο ούτε τον σκοπό ούτε το αποτέλεσμα των πληροφοριών που διαβιβάστηκαν στην Deloitte. Συγκεκριμένα, περιορίστηκε στην αναφορά ότι οι παρατηρήσεις που υπέβαλαν οι καταγγέλλοντες κατά τη φάση της διαβούλευσης αντανακλούσαν τις γνώμες ή τις απόψεις τους και, επ’ αυτής και μόνον της βάσης, κατέληξε στο συμπέρασμα ότι αποτελούσαν πληροφορίες που τους αφορούσαν, όπερ ήταν αρκετό ώστε να χαρακτηριστούν ως δεδομένα προσωπικού χαρακτήρα. Βεβαίως, δεν μπορεί να αποκλειστεί το ενδεχόμενο οι προσωπικές απόψεις ή γνώμες να συνιστούν δεδομένα προσωπικού χαρακτήρα. Εντούτοις, από την απόφαση Nowak ( 8 ) προκύπτει ότι ένα τέτοιο συμπέρασμα δεν μπορεί να βασίζεται σε τεκμήριο όπως αυτό που εφάρμοσε ο ΕΕΠΔ αλλά πρέπει να βασίζεται στην εξέταση του κατά πόσον μια άποψη συνδέεται με συγκεκριμένο πρόσωπο λόγω του περιεχομένου, του σκοπού ή του αποτελέσματός της. Επομένως, δεδομένου ότι δεν προέβη σε τέτοια εξέταση, ο ΕΕΠΔ δεν μπορούσε να καταλήξει στο συμπέρασμα ότι οι πληροφορίες που διαβιβάστηκαν στην Deloitte συνιστούσαν πληροφορίες που «αφορούν» φυσικό πρόσωπο κατά την έννοια του άρθρου 3, σημείο 1, του κανονισμού 2018/1725.

Δεύτερον, το Γενικό Δικαστήριο εξετάζει την εκτίμηση του ΕΕΠΔ σχετικά με το κατά πόσον οι πληροφορίες που διαβιβάστηκαν στην Deloitte αφορούσαν «ταυτοποιημένο ή ταυτοποιήσιμο» φυσικό πρόσωπο κατά την έννοια της εν λόγω διάταξης.

Στο πλαίσιο αυτό, το Γενικό Δικαστήριο επισημαίνει ότι δεν αμφισβητείται, αφενός, ότι ο αλφαριθμητικός κωδικός που περιλαμβάνεται στις πληροφορίες που διαβιβάστηκαν στην Deloitte δεν καθιστούσε από μόνος του δυνατή την ταυτοποίηση των συντακτών των παρατηρήσεων και, αφετέρου, ότι η Deloitte δεν είχε πρόσβαση στα στοιχεία ταυτοποίησης που ελήφθησαν κατά τη φάση της εγγραφής και καθιστούσαν δυνατή τη συσχέτιση των συμμετεχόντων με τις παρατηρήσεις τους μέσω του εν λόγω κωδικού. Ο ΕΕΠΔ ανέφερε ότι οι συμπληρωματικές πληροφορίες που απαιτούνται για την ταυτοποίηση των συντακτών των παρατηρήσεων ήταν ο αλφαριθμητικός κωδικός και η βάση δεδομένων ταυτοποιήσεως. Βεβαίως, λαμβανομένης υπόψη της προαναφερθείσας απόφασης Breyer ( 9 ), το γεγονός ότι οι συμπληρωματικές πληροφορίες που ήταν αναγκαίες για την ταυτοποίηση των συντακτών των σχολίων που ελήφθησαν κατά τη φάση της διαβούλευσης δεν βρίσκονταν στην κατοχή της Deloitte, αλλά του ΕΣΕ, δεν φαίνεται ικανό να αποκλείσει εκ των προτέρων το ενδεχόμενο οι πληροφορίες που διαβιβάστηκαν στην Deloitte να συνιστούσαν, για το ΕΣΕ, δεδομένα προσωπικού χαρακτήρα. Ωστόσο, από την ίδια απόφαση προκύπτει επίσης ότι, προκειμένου να κριθεί αν οι πληροφορίες που διαβιβάστηκαν στην Deloitte συνιστούν δεδομένα προσωπικού χαρακτήρα, πρέπει να πραγματοποιηθεί εκτίμηση από τη σκοπιά της Deloitte, ώστε να προσδιοριστεί κατά πόσον οι πληροφορίες που διαβιβάστηκαν σε αυτήν αφορούν «ταυτοποιήσιμα πρόσωπα».

Επομένως, κατ’ εφαρμογήν της προαναφερθείσας απόφασης Breyer ( 10 ), εναπέκειτο στον ΕΕΠΔ να εξετάσει αν οι παρατηρήσεις που διαβιβάστηκαν στην Deloitte συνιστούσαν, ως προς την τελευταία, δεδομένα προσωπικού χαρακτήρα. Επομένως, σύμφωνα με το Γενικό Δικαστήριο, ο ΕΕΠΔ κακώς ισχυρίστηκε ότι δεν ήταν αναγκαίο να διερευνηθεί αν η Deloitte μπορούσε να επαναταυτοποιήσει τους συντάκτες των πληροφοριών που της διαβιβάστηκαν ή αν η εν λόγω επαναταυτοποίηση ήταν ευλόγως δυνατή. Το Γενικό Δικαστήριο διαπιστώνει ότι, στην αναθεωρημένη απόφαση, ο ΕΕΠΔ έκρινε ότι το γεγονός ότι το ΕΣΕ είχε στη διάθεσή του τις συμπληρωματικές πληροφορίες που παρείχαν τη δυνατότητα επαναταυτοποίησης των συντακτών των παρατηρήσεων αρκούσε για να συναχθεί το συμπέρασμα ότι οι πληροφορίες που διαβιβάστηκαν στην Deloitte ήταν δεδομένα προσωπικού χαρακτήρα, αναγνωρίζοντας συγχρόνως ότι τα δεδομένα ταυτοποίησης που ελήφθησαν κατά τη φάση της εγγραφής δεν είχαν κοινοποιηθεί στην Deloitte. Επομένως, από την αναθεωρημένη απόφαση προκύπτει ότι ο ΕΕΠΔ περιορίστηκε στην εξέταση της δυνατότητας επαναταυτοποίησης των συντακτών των παρατηρήσεων μόνο από τη σκοπιά του ΕΣΕ και όχι από τη σκοπιά της Deloitte. Πλην όμως, από την προαναφερθείσα απόφαση Breyer ( 11 ) προκύπτει ότι εναπέκειτο στον ΕΕΠΔ να διαπιστώσει αν η δυνατότητα συνδυασμού των πληροφοριών που είχαν διαβιβαστεί στην Deloitte με τις συμπληρωματικές πληροφορίες που είχε στην κατοχή του το ΕΣΕ συνιστούσε μέσο το οποίο θα μπορούσε ευλόγως να χρησιμοποιηθεί από την Deloitte για την ταυτοποίηση των συντακτών των παρατηρήσεων.

Ως εκ τούτου, δεδομένου ότι δεν διερεύνησε κατά πόσον η Deloitte διέθετε στην πράξη νόμιμα και πρόσφορα μέσα τα οποία της παρείχαν τη δυνατότητα να αποκτήσει πρόσβαση στις συμπληρωματικές πληροφορίες που ήταν αναγκαίες για την επαναταυτοποίηση των συντακτών των παρατηρήσεων, ο ΕΕΠΔ δεν μπορούσε να καταλήξει στο συμπέρασμα ότι οι πληροφορίες που διαβιβάστηκαν στην Deloitte συνιστούσαν πληροφορίες που αφορούσαν «ταυτοποιήσιμο φυσικό πρόσωπο» κατά την έννοια του άρθρου 3, σημείο 1, του κανονισμού 2018/1725. Κατά συνέπεια, το Γενικό Δικαστήριο ακυρώνει την αναθεωρημένη απόφαση του ΕΕΠΔ.

( 1 ) Κανονισμός (ΕΕ) 806/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Ιουλίου 2014, περί θεσπίσεως ενιαίων κανόνων και διαδικασίας για την εξυγίανση πιστωτικών ιδρυμάτων και ορισμένων επιχειρήσεων επενδύσεων στο πλαίσιο ενός Ενιαίου Μηχανισμού Εξυγίανσης και ενός Ενιαίου Ταμείου Εξυγίανσης και τροποποιήσεως του κανονισμού (ΕΕ) αριθ. 1093/2010 (ΕΕ 2014, L 225, σ. 1).

( 2 ) Άρθρο 20, παράγραφοι 16 έως 18, του κανονισμού 806/2014.

( 3 ) Βάσει του άρθρου 76, παράγραφος 1, στοιχείο εʹ, του κανονισμού 806/2014.

( 4 ) Κανονισμός (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ 2018, L 295, σ. 39).

( 5 ) Κατά το άρθρο 15, παράγραφος 1, στοιχείο δʹ, του κανονισμού 2018/1725, «[ό]ταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων [...] τις πληροφορίες [που αφορούν] τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν».

( 6 ) Απόφαση της 20ής Δεκεμβρίου 2017, Nowak (C-434/16, EU:C:2017:994).

( 7 ) Απόφαση της 19ης Οκτωβρίου 2016, Breyer (C-582/14, EU:C:2016:779).

( 8 ) Σκέψεις 34 και 35 της απόφασης.

( 9 ) Σκέψη 43 της απόφασης.

( 10 ) Σκέψη 44 της απόφασης.

( 11 ) Σκέψη 45 της απόφασης.