1

Apeliaciniu skundu Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) prašo panaikinti 2023 m. balandžio 26 d. Europos Sąjungos Bendrojo Teismo sprendimą BPV / EDAPP (T‑557/20, EU:T:2023:219, toliau – skundžiamas sprendimas), kuriuo šis teismas panaikino 2020 m. lapkričio 24 d. peržiūrėtą EDAPP sprendimą, priimtą gavus Bendros pertvarkymo valdybos (BPV) prašymą peržiūrėti 2020 m. birželio 24 d. EDAPP sprendimą dėl penkių skundų, pateiktų kelių pareiškėjų (bylos 2019‑947, 2019‑998, 2019‑999, 2019‑1000 ir 2019‑1122) (toliau – ginčijamas sprendimas).

2

2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018, p. 39), 5, 16, 17 ir 35 konstatuojamosios dalys suformuluotos taip:

<…>

<…>

3

Reglamento 2018/1725 3 straipsnio „Terminų apibrėžtys“ 1, 6, 8 ir 13 punktuose numatyta:

„Šiame reglamente vartojamų terminų apibrėžtys:

<…>

<…>

<…>

4

Šio reglamento 4 straipsnio „Su asmens duomenų tvarkymu susiję principai“ 2 dalyje nustatyta:

„Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“

5

Minėto reglamento 14 straipsnio „Skaidrus informavimas, pranešimas ir duomenų subjekto naudojimosi savo teisėmis sąlygos“ 1 dalyje numatyta:

„Duomenų valdytojas imasi tinkamų priemonių, kad visą 15 ir 16 straipsniuose nurodytą informaciją ir visus pranešimus pagal 17–24 ir 35 straipsnius, susijusius su duomenų tvarkymu, duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, ypač jei informacija yra konkrečiai skirta vaikui. Informacija pateikiama raštu arba kitomis priemonėmis, jei reikia, taip pat ir elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, jeigu duomenų subjekto tapatybė įrodoma kitomis priemonėmis.“

6

To paties reglamento 15 straipsnio „Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto“ įtvirtinta:

„1.   Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:

<…>

<…>

2.   Be 1 dalyje nurodytos informacijos, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia toliau nurodytą kitą informaciją, būtiną duomenų tvarkymo sąžiningumui ir skaidrumui užtikrinti:

<…>

<…>“

7

Reglamento 2018/1725 24 straipsnyje nustatytos sąlygos, kuriomis atskiras sprendimas gali būti grindžiamas automatizuotu duomenų tvarkymu, įskaitant profiliavimą.

8

Šio reglamento 26 straipsnio „Duomenų valdytojo atsakomybė“ 1 dalyje numatyta:

„Atsižvelgdamas į duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus, taip pat į įvairios tikimybės ir rimtumo pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas įgyvendina tinkamas technines ir organizacines priemones, kad užtikrintų ir galėtų įrodyti, kad duomenys tvarkomi laikantis šio reglamento. Tos priemonės prireikus peržiūrimos ir atnaujinamos.“

9

Bylos aplinkybės išdėstytos skundžiamo sprendimo 2–32 punktuose; jas galima apibendrinti taip, kaip nurodyta toliau.

10

2017 m. birželio 7 d. vykdomajame posėdyje BPV priėmė Sprendimą SRB/EES/2017/08 dėl Banco Popular Español, SA pertvarkymo schemos, remdamasi 2014 m. liepos 15 d. Europos Parlamento ir Tarybos reglamentu (ES) Nr. 806/2014, kuriuo nustatomos kredito įstaigų ir tam tikrų investicinių įmonių pertvarkymo vienodos taisyklės ir vienoda procedūra, kiek tai susiję su bendru pertvarkymo mechanizmu ir Bendru pertvarkymo fondu, ir iš dalies keičiamas Reglamentas (ES) Nr. 1093/2010 (OL L 225, 2014, p. 1) (toliau – BPMR).

11

Šiame sprendime BPV, manydama, kad BPMR 18 straipsnio 1 dalyje numatytos sąlygos yra įvykdytos, nusprendė taikyti Banco Popular Español SA (toliau – Banco Popular) pertvarkymo procedūrą. Taigi BPV nutarė nurašyti ir konvertuoti Banco Popular kapitalo priemones pagal šio reglamento 21 straipsnį ir taikyti verslo pardavimo priemonę pagal minėto reglamento 24 straipsnį, perleidžiant akcijas pirkėjui.

12

Tą pačią dieną Europos Komisija priėmė Sprendimą (ES) 2017/1246, kuriuo patvirtinama „Banco Popular Español S.A.“ pertvarkymo schema (OL L 178, 2017, p. 15).

13

Po Banco Popular pertvarkymo audito ir konsultacijų bendrovė Deloitte pateikė BPV BPMR 20 straipsnio 16–18 dalyse numatytą skirtingo požiūrio vertinimą, atliktą siekiant nustatyti, ar Banco Popular akcininkams ir kreditoriams būtų taikytos geresnės sąlygos, jeigu jiems būtų iškelta įprastinė bankroto byla (toliau – 3-iasis vertinimas). 2018 m. birželio 14 d. ji perdavė šį vertinimą BPV.

14

2018 m. rugpjūčio 6 d. savo interneto svetainėje BPV paskelbė 2018 m. rugpjūčio 2 d. nuomonę apie savo preliminarų sprendimą dėl to, ar skirti kompensaciją akcininkams ir kreditoriams, kuriems taikytos Banco Popular Español, SA pertvarkymo priemonės, ir dėl teisės būti išklausytam procedūros pradžios (SRB/EES/2018/132) (toliau – preliminarus sprendimas), taip pat nekonfidencialią 3-iojo vertinimo versiją. 2018 m. rugpjūčio 7 d.Europos Sąjungos oficialiajame leidinyje buvo paskelbtas pranešimas dėl šios nuomonės (OL C 277 I, 2018, p. 1).

15

Preliminariame sprendime BPV nurodė, jog tam, kad galėtų priimti galutinį sprendimą dėl būtinybės mokėti akcininkams ir kreditoriams, patiriantiems poveikį dėl Banco Popular pertvarkymo (toliau – poveikį patiriantys akcininkai ir kreditoriai), kompensaciją pagal BPMR 76 straipsnio 1 dalies e punktą, ji paragino juos pranešti apie suinteresuotumą pasinaudoti teise būti išklausytiems pagal Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 41 straipsnio 2 dalies a punktą.

16

Remiantis preliminariame sprendime pateikta informacija, su teise būti išklausytam susijusi procedūra turėjo vykti dviem etapais.

17

Pirmajame etape (toliau – registracijos etapas) poveikį patiriančių akcininkų ir kreditorių buvo paprašyta iki 2018 m. rugsėjo 14 d. naudojant internetinę registracijos formą nurodyti savo suinteresuotumą pasinaudoti teise būti išklausytiems. Per šį etapą poveikį patiriantys akcininkai ir kreditoriai, norintys pasinaudoti teise būti išklausyti, turėjo pateikti BPV patvirtinamuosius dokumentus, įrodančius, kad Banco Popular pertvarkymo dieną jie turėjo vieną ar daugiau jo kapitalo priemonių, kurios vykdant pertvarkymą buvo nurašytos arba konvertuotos ir perduotos Banco Santander SA. Tarp patvirtinamųjų dokumentų, kuriuos reikėjo pateikti, buvo tapatybės kortelė ir vienos iš šių kapitalo priemonių nuosavybės teisės 2017 m. birželio 6 d. įrodymas. Paskui BPV turėjo patikrinti, ar kiekvienas suinteresuotumą išreiškęs asmuo iš tikrųjų turėjo poveikį patiriančio akcininko ar kreditoriaus statusą.

18

2018 m. rugpjūčio 6 d., t. y. registracijos etapo pradžios dieną, BPV registracijos į procedūrą dėl teisės būti išklausytam tinklalapyje ir savo interneto svetainėje taip pat paskelbė privatumo pareiškimą dėl asmens duomenų tvarkymo vykstant šiai procedūrai (toliau – pareiškimas dėl privatumo).

19

Antrajame etape (toliau – konsultacijų etapas) asmenys, kurių poveikį patiriančių akcininkų ir kreditorių statusas buvo patikrintas BVP, galėjo pateikti savo komentarus dėl preliminaraus sprendimo, prie kurio buvo pridėtas 3-iasis vertinimas. 2018 m. spalio 16 d. BPV savo interneto svetainėje paskelbė, kad nuo 2018 m. lapkričio 6 d. poveikį patiriančių akcininkų ir kreditorių bus paprašyta vykstant konsultacijų etapui pateikti rašytinius komentarus dėl preliminaraus sprendimo.

20

2018 m. lapkričio 6 d. BPV elektroniniu laišku poveikį patiriantiems akcininkams ir kreditoriams išsiuntė vieną asmeninę nuorodą, leidžiančią jiems internete susipažinti su forma, sudaryta iš septynių klausimų, kurioje ribota vieta atsakymams, ir leidžiančią poveikį patiriantiems akcininkams ir kreditoriams iki 2018 m. lapkričio 26 d. pateikti komentarus dėl preliminaraus sprendimo ir dėl nekonfidencialios 3-iojo vertinimo versijos.

21

BPV išnagrinėjo reikšmingus poveikį patiriančių akcininkų ir kreditorių komentarus dėl preliminaraus sprendimo. Ji paprašė Deloitte, kaip nepriklausomo vertintojo, įvertinti reikšmingus komentarus dėl 3-iojo vertinimo, pateikti jai dokumentą su savo vertinimu ir išnagrinėti, ar šis vertinimas tebegalioja atsižvelgiant į šiuos komentarus.

22

Prieigą prie registracijos etape surinktų duomenų, t. y. poveikį patiriančių akcininkų ir kreditorių tapatybės ir Banco Popular nurašytų arba konvertuotų ir perleistų kapitalo priemonių nuosavybės įrodymų, turėjo ribotas skaičius BPV darbuotojų, t. y. tų, kurie buvo atsakingi už šių duomenų tvarkymą siekiant nustatyti šių akcininkų ir kreditorių teisę į kompensaciją.

23

BPV darbuotojai, atsakingi už per konsultacijų etapą gautų komentarų tvarkymą, neturėjo prieigos nei prie registracijos etape surinktų duomenų, todėl šie komentarai buvo atskirti nuo asmeninės informacijos, susijusios su juos pateikusiais poveikį patiriančiais akcininkais ir kreditoriais, nei prie duomenų rakto ar informacijos, leidžiančios nustatyti poveikį patiriančio akcininko ar kreditoriaus tapatybę pagal kiekvienam naudojantis forma pateiktam komentarui priskirtą unikalų raidinį skaitmeninį kodą. Šį raidinį skaitmeninį kodą sudarė unikalus 33 skaitmenų universalus identifikatorius, kuris buvo atsitiktinai sugeneruotas gaunant formą.

24

Pirmajame etape BPV automatiškai patikrino 23822 komentarus, kurių kiekvienas turėjo unikalų raidinį skaitmeninį kodą ir kuriuos pateikė 2855 procedūros dalyviai. Du algoritmai padėjo nustatyti, kad 20101 komentaras yra vienodi. Šiuo atveju pirmas pateiktas komentaras buvo laikomas originaliu komentaru, kuris buvo išnagrinėtas analizės etape, o vėliau gauti identiški komentarai buvo įvardyti kaip pasikartojantys.

25

Antrajame etape BPV nustatė pateiktus komentarus, kurie patenka į procedūros dėl teisės būti išklausytam taikymo sritį, nes jie galėjo turėti įtakos preliminariam sprendimui arba 3-iajam vertinimui. Vėliau ji suskirstė komentarus į tuos, į kuriuos turėjo atsižvelgti BPV, nes jie susiję su preliminariu sprendimu, ir į tuos, į kuriuos turėjo atsižvelgti Deloitte, nes jie susiję su 3-iuoju vertinimu. Pasibaigus šiam etapui BPV nustatė 3730 komentarų, kuriuos ji suskirstė pagal jų svarbą ir temą.

26

Trečiajame etape BPV apdorojo komentarus dėl preliminaraus sprendimo, o komentarai dėl 3-iojo vertinimo, t. y. 1104 komentarai, 2019 m. birželio 17 d. buvo perduoti Deloitte per BPV skirtą saugų virtualų duomenų serverį. Ji įkėlė Deloitte perduotinas rinkmenas į šį serverį ir suteikė prieigą prie šių rinkmenų ribotam ir kontroliuojamam Deloitte darbuotojų skaičiui, t. y. tiems, kurie tiesiogiai dalyvavo nagrinėjant 3-iojo vertinimo komentarus.

27

Deloitte perduoti komentarai buvo filtruoti, suskirstyti į kategorijas ir apibendrinti. Jei tai buvo ankstesnių komentarų kopijos, Deloitte buvo išsiunčiama tik viena versija, todėl atskirų pakartotų komentarų nebuvo galima atskirti pagal temą ir Deloitte neturėjo galimybės žinoti, ar komentarą pateikė vienas, ar daugiau procedūros dėl teisės būti išklausytam dalyvių.

28

Deloitte perduoti komentarai buvo tik konsultacijų etape gauti komentarai ir jiems buvo priskirtas raidinis skaitmeninis kodas. Vis dėlto BPV buvo vienintelė, kuri šiuo kodu galėjo susieti komentarus su registracijos etape gautais duomenimis, be kita ko, komentarų autorių tapatybės duomenimis. Raidinis skaitmeninis kodas buvo sukurtas audito tikslais, kad būtų galima patikrinti ir retrospektyviai per teismo procesą įrodyti, kad kiekvienas komentaras buvo apdorotas ir į jį buvo tinkamai atsižvelgta. Deloitte neturėjo prieigos prie duomenų bazės, surinktos per registracijos etapą ar per procedūrą dėl teisės būti išklausytam, ir tuo metu, kai buvo paskelbtas skundžiamas sprendimas, vis dar neturėjo prieigos prie jos.

29

2019 m. spalio ir gruodžio mėn. poveikį patiriantys akcininkai ir kreditoriai, užpildę formą, pateikė EDAPP penkis skundus pagal Reglamentą 2018/1725. Šiuose skunduose jie nurodė šio reglamento 15 straipsnio 1 dalies d punkto pažeidimą, nes BPV jų neinformavo, kad atsakymuose į formą surinkti duomenys bus perduoti tretiesiems asmenims, t. y. Deloitte ir Banco Santander, pažeidžiant pareiškimo dėl privatumo sąlygas.

30

Pasibaigus procedūrai, per kurią BPV EDAPP prašymu pateikė įvairių paaiškinimų, o pareiškėjai pateikė pastabas, 2020 m. birželio 24 d. EDAPP priėmė sprendimą dėl penkių skundų, kuriuos keli pareiškėjai pateikė prieš Bendrą pertvarkymo valdybą (bylos 2019‑947, 2019‑998, 2019‑999, 2019‑1000 ir 2019‑1122) (toliau – pirminis sprendimas). Šiame sprendime EDAPP nurodė, kad BPV pažeidė Reglamento 2018/1725 15 straipsnį, nes pareiškime dėl privatumo neinformavo pareiškėjų apie tai, kad jų asmens duomenys gali būti perduoti Deloitte. Todėl pagal šio reglamento 58 straipsnio 2 dalies b punktą jis kreipėsi į BPV dėl šio pažeidimo.

31

2020 m. liepos 22 d. BPV paprašė EDAPP peržiūrėti pirminį sprendimą pagal 2020 m. gegužės 15 d. Europos duomenų apsaugos priežiūros pareigūno sprendimo, kuriuo patvirtinamos EDAPP darbo tvarkos taisyklės (OL L 204, 2020, p. 49), 18 straipsnio 1 dalį. Visų pirma BPV pateikė išsamų teisės būti išklausytam procedūros aprašymą ir konsultacijų etape keturių nustatytų pareiškėjų pateiktų komentarų analizę. Ji teigė, kad Deloitte perduota informacija nėra asmens duomenys, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą.

32

2020 m. rugpjūčio 5 d. EDAPP informavo BPV, kad, atsižvelgdamas į pateiktus naujus įrodymus, nusprendė peržiūrėti pirminį sprendimą ir priimti jį pakeisiantį sprendimą.

33

Pasibaigus peržiūros procedūrai (per ją pareiškėjai pateikė pastabų, o EDAPP prašymu BPV pateikė papildomos informacijos), 2020 m. lapkričio 24 d. EDAPP priėmė ginčijamą sprendimą.

34

Šiuo sprendimu EDAPP pakeitė pirminį sprendimą taip:

35

2020 m. rugsėjo 1 d. Bendrojo Teismo kanceliarija gavo BPV ieškinį, kuriuo ji prašė, pirma, panaikinti ginčijamą sprendimą ir, antra, pripažinti pirminį sprendimą neteisėtu.

36

Grįsdama pirmąjį reikalavimą BPV nurodė du pagrindus, kurių pirmasis grindžiamas Reglamento 2018/1725 3 straipsnio 1 punkto pažeidimu, nes Deloitte perduota informacija nėra asmens duomenys, o antrasis – Chartijos 41 straipsnyje įtvirtintos teisės į gerą administravimą pažeidimu.

37

Skundžiamu sprendimu Bendrasis Teismas dėl jurisdikcijos neturėjimo atmetė antrąjį reikalavimą, kuriuo buvo siekiama, kad pirminis sprendimas būtų pripažintas neteisėtu, nes BPV siekė, kad būtų priimtas deklaratyvus sprendimas, o ne kad būtų panaikintas aktas.

38

Tačiau Bendrasis Teismas pirmąjį reikalavimą pripažino priimtinu. Spręsdamas dėl bylos esmės, jis patenkino ieškinio pirmąjį pagrindą ir panaikino ginčijamą sprendimą, o ieškinio antrojo pagrindo nenagrinėjo.

39

2023 m. spalio 20 d. Teisingumo Teismo pirmininko sprendimu Europos Komisijai buvo leista įstoti į bylą palaikyti BPV reikalavimų. 2023 m. lapkričio 29 d. Teisingumo Teismo pirmininko nutartimi Europos duomenų apsaugos valdybai buvo leista įstoti į bylą palaikyti EDAPP reikalavimų.

40

EDAPP, palaikomas Europos duomenų apsaugos valdybos, Teisingumo Teismo prašo:

41

BPV, palaikoma Komisijos, Teisingumo Teismo prašo:

42

Grįsdamas apeliacinį skundą EDAPP, palaikomas Europos duomenų apsaugos valdybos, nurodo du pagrindus, kurių pirmasis grindžiamas Reglamento 2018/1725 3 straipsnio 1 ir 6 punktų, kaip juos yra išaiškinęs Teisingumo Teismas, pažeidimu, o antrasis – šio reglamento 4 straipsnio 2 dalies ir 26 straipsnio 1 dalies pažeidimu.

43

Pirmuoju pagrindu EDAPP iš esmės teigia, kad nusprendęs, jog ginčijamame sprendime padaryta klaidinga išvada, kad šioje byloje nagrinėjama informacija yra asmens duomenys, Bendrasis Teismas padarė teisės klaidą aiškindamas Reglamento 2018/1725 3 straipsnio 1 ir 6 punktus. Šį pagrindą sudaro dvi dalys. Pirma dalis susijusi su šio reglamento 3 straipsnio 1 punkte numatyta sąlyga, kad informacija būtų „apie“ fizinį asmenį, o antra dalis susijusi su toje pačioje nuostatoje numatyta sąlyga, susijusia su šio asmens „tapatybės nustatymu“.

44

Pirmojo pagrindo pirmoje dalyje EDAPP teigia, kad, priešingai, nei Bendrasis Teismas nusprendė skundžiamo sprendimo 60–74 punktuose, Deloitte perduota informacija buvo apie fizinį asmenį, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą.

45

Pirma, EDAPP teigia, kad, priešingai, nei matyti iš skundžiamo sprendimo 70 punkto, duomenų apsaugos institucijos negali būti įpareigotos bet kuriuo atveju išnagrinėti informacijos turinį, tikslą ar poveikį, kad patikrintų, ar ji yra apie fizinį asmenį. EDAPP teigimu, tokio nagrinėjimo, be kita ko, negalėjo būti reikalaujama, kiek tai susiję su komentarais, kuriuos BPV perdavė Deloitte, nes, jo nuomone, buvo aišku, kad šie komentarai yra apie fizinį asmenį, kadangi juose išreikšta asmeninė tam tikrų Banco Popular kreditorių ir akcininkų nuomonė dėl jų galimos teisės į kompensaciją pagal BPMR 76 straipsnio 1 dalies e punktą.

46

Antra, priešingai, nei konstatuota skundžiamo sprendimo 71 punkte, EDAPP teigia, kad darydamas išvadą dėl asmens duomenų buvimo jis rėmėsi ne tik Deloitte perduotų komentarų pobūdžiu, bet ir aplinkybe, kad šiai bendrovei taip pat buvo perduotas raidinis skaitmeninis kodas.

47

Trečia, EDAPP teigia, kad skundžiamas sprendimas yra prieštaringas, nes, viena vertus, to sprendimo 7 punkte Bendrasis Teismas pažymėjo, kad pats Deloitte perduotų komentarų tikslas buvo leisti konkretiems fiziniams asmenims, t. y. poveikį patiriantiems akcininkams ir kreditoriams, pasinaudoti teise būti išklausytiems dėl galimos kompensacijos pagal BPMR 76 straipsnio 1 dalies e punktą. Kita vertus, prieštaraudamas šiai pirmai išvadai, minėto sprendimo 73 punkte Bendrasis Teismas nusprendė, kad EDAPP rėmėsi prezumpcijomis, pagal kurias visi šie Deloitte perduoti komentarai yra asmens duomenys, tačiau neįrodė, kad jie yra apie fizinius asmenis.

48

BPV, palaikoma Komisijos, teigia, kad šie argumentai turi būti atmesti.

49

Pirma, remiantis 2017 m. gruodžio 20 d. Sprendime Nowak (C‑434/16, EU:C:2017:994, 34 ir 35 punktai) ir 2023 m. gegužės 4 d. Sprendime Österreichische Datenschutzbehörde ir CRIF (C‑487/21, EU:C:2023:369, 23 ir 24 punktai) suformuota jurisprudencija, objektyvi arba subjektyvi informacija nuomonių ar vertinimų forma gali būti asmens duomenys, jeigu jie yra „apie“ atitinkamą asmenį. Be to, pagal šią jurisprudenciją informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti, yra tokia informacija, kuri dėl savo turinio, tikslo ar poveikio yra susijusi su nustatytinu asmeniu. Taigi skundžiamo sprendimo 70–74 punktuose Bendrasis Teismas teisingai nusprendė, kad EDAPP nepaisė minėtos jurisprudencijos, nes tik nurodė, kad Deloitte perduoti komentarai atspindi poveikį patiriančių akcininkų ir kreditorių nuomones ar požiūrius, taigi neišnagrinėjo, ar dėl savo turinio, tikslo ar poveikio šie komentarai buvo apie asmenį, kurio tapatybę galima nustatyti.

50

Antra, EDAPP teiginys, kad šių komentarų kaip asmens duomenų pobūdį neišvengiamai lemia jų tikslas, yra naujas faktinis teiginys, pirmą kartą pateiktas apeliaciniame teisme, todėl jis yra nepriimtinas. Bet kuriuo atveju šis teiginys yra nereikšmingas, nes EDAPP nenagrinėjo šio klausimo ginčijamame sprendime.

51

Trečia, dėl tariamo skundžiamo sprendimo 7 ir 73 punktų motyvų prieštaringumo BPV teigia, kad to sprendimo 7 punkte pateiktame aprašyme nėra jokios informacijos apie Deloitte perduotų komentarų turinį, tikslą ar poveikį, todėl jis neprieštarauja to sprendimo 73 punkte padarytai išvadai.

52

Pirmiausia reikia pažymėti, kad Reglamento 2018/1725 3 straipsnio 1 punkte pateikta sąvokos „asmens duomenys“ apibrėžtis iš esmės yra identiška BDAR 4 straipsnio 1 punkte pateiktai apibrėžčiai, kurios turinys iš esmės yra identiškas 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355) 2 straipsnio a punkte pateiktai sąvokai. Taigi, siekiant užtikrinti vienodą ir nuoseklų Sąjungos teisės taikymą, reikia užtikrinti vienodą Reglamento 2018/1725 3 straipsnio 1 punkto, BDAR 4 straipsnio 1 punkto ir Direktyvos 95/46 2 straipsnio a punkto aiškinimą (šiuo klausimu žr. 2024 m. kovo 7 d. Sprendimo OC / Komisija, C‑479/22 P, EU:C:2024:215, 43 punktą ir 2024 m. kovo 7 d. Sprendimo IAB Europe, C‑604/22, EU:C:2024:214, 33 punktą ir jame nurodytą jurisprudenciją).

53

Reglamento 2018/1725 3 straipsnio 1 punkte nurodyta, kad asmens duomenys – „bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti“.

54

Teisingumo Teismas jau yra nusprendęs, kad žodžių „bet kokia informacija“ vartojimas apibrėžiant sąvoką „asmens duomenys“, įtvirtintą BDAR 4 straipsnio 1 punkte, atspindi Sąjungos teisės aktų leidėjo tikslą šiai sąvokai suteikti plačią reikšmę; ji potencialiai apima bet kokios rūšies informaciją, tiek objektyvią, tiek subjektyvią, nuomonių ar vertinimų pavidalo, jeigu ji yra „apie“ atitinkamą asmenį (2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 23 punktas ir jame nurodyta jurisprudencija; 2024 m. kovo 7 d. Sprendimo OC / Komisija, C‑479/22 P, EU:C:2024:215, 45 punktas ir 2024 m. spalio 4 d. Sprendimo Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, 130 punktas).

55

Informacija yra apie fizinį asmenį, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti, jeigu dėl savo turinio, tikslo ar poveikio ji yra susijusi su asmeniu, kurio tapatybė gali būti nustatyta (2017 m. gruodžio 20 d. Sprendimo Nowak, C‑434/16, EU:C:2017:994, 35 punktas; 2024 m. kovo 7 d. Sprendimo OC / Komisija, C‑479/22 P, EU:C:2024:215, 45 punktas ir 2024 m. kovo 7 d. Sprendimo IAB Europe, C‑604/22, EU:C:2024:214, 37 punktas ir jame nurodyta jurisprudencija).

56

Nors nagrinėjamu atveju Bendrasis Teismas skundžiamo sprendimo 70 punkte pažymėjo, kad EDAPP neišnagrinėjo Deloitte pateiktų komentarų turinio, tikslo ir poveikio, vis dėlto iš to sprendimo 71 ir 72 punktų matyti, jog tam, kad būtų konstatuota, jog šie komentarai atspindi duomenų subjektų nuomones ar požiūrius, reikėjo, kad EDAPP iš anksto išnagrinėtų tų komentarų turinį. Remdamasis tuo EDAPP padarė išvadą, kad tai yra informacija apie šiuos asmenis. Pagal šio sprendimo 55 punkte primintą jurisprudenciją informacijos turinio nagrinėjimas nebūtinai turi būti papildytas šios informacijos tikslo ir poveikio analize, kaip tai rodo jungtuko „ar“ vartojimas, siejantis įvairius šioje jurisprudencijoje nurodytus kriterijus.

57

Vis dėlto skundžiamo sprendimo 73 ir 74 punktuose Bendrasis Teismas nusprendė, kad EDAPP negalėjo Deloitte perduotuose komentaruose pateiktos informacijos kvalifikuoti kaip asmens duomenų remdamasis vien išvada, kad tai buvo asmeninės nuomonės ar požiūriai, bet taip pat turėjo išnagrinėti taip pareikštų nuomonių turinį, tikslą ir poveikį, kad nustatytų, ar jos yra apie nustatytą asmenį.

58

Šiame Bendrojo Teismo vertinime neatsižvelgiama į ypatingą asmeninių nuomonių ar požiūrių, kurie, kaip asmens mąstymo išraiška, yra glaudžiai su juo susiję, pobūdį.

59

Pirmesniame punkte pateiktą aiškinimą patvirtina 2017 m. gruodžio 20 d. Sprendime Nowak (C‑434/16, EU:C:2017:994) suformuota jurisprudencija, kuri, be kita ko, buvo susijusi su egzaminuotojo raštu pateiktomis pastabomis dėl egzaminuojamojo profesinio egzamino atsakymų. Iš tiesų, nors to sprendimo 42–44 punktuose Teisingumo Teismas įvertino šių pastabų turinį, tikslą ir poveikį, kad konstatuotų, jog jos yra informacija apie jose nurodytą kandidatą, jis iš esmės nusprendė, kad minėtos pastabos taip pat susijusios su jas parengusiu egzaminuotoju, nes jose buvo pareikšta nuomonė ar vertinimas.

60

Darytina išvada, kad Bendrasis Teismas padarė teisės klaidą, kai skundžiamo sprendimo 73 ir 74 punktuose nusprendė, jog tam, kad padarytų išvadą, jog Deloitte perduotuose komentaruose pateikta informacija „apie“, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą, šiuos komentarus pateikusius asmenis, EDAPP turėjo išnagrinėti šių komentarų turinį, tikslą ar poveikį, nes neginčijama, kad jie išreiškia jų autorių nuomonę ar asmeninį požiūrį.

61

Taigi, nesant reikalo nagrinėti šio sprendimo 46 ir 47 punktuose apibendrintų argumentų, pirmojo pagrindo pirmai daliai reikia pritarti.

62

Pirmojo pagrindo antroje dalyje EDAPP teigia, kad skundžiamo sprendimo 76–106 punktuose Bendrasis Teismas klaidingai nusprendė, jog jis negalėjo nuspręsti, kad Deloitte perduotuose komentaruose pateikta informacija apie fizinį asmenį, „kurio tapatybę galima nustatyti“, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą. Šią dalį sudaro du atskiri priekaištai.

63

Visų pirma EDAPP primena, kad pagal Reglamento 2018/1725 3 straipsnio 1 punktą duomenų valdytojas arba „kitas asmuo“ turi galėti nustatyti asmens, apie kurį yra nagrinėjama informacija, tapatybę. Nesant jokių nuorodų, kas turėtų galėti nustatyti šią tapatybę, pakaktų, kad duomenų subjekto tapatybę būtų galima nustatyti. Nagrinėjamu atveju neginčijama, kad Deloitte perduoti komentarai, kuriuos turėjo BPV, yra asmens duomenys. Reglamento 3 straipsnio 6 dalyje, siejamoje su 16 konstatuojamąja dalimi, teigiama, kad duomenys, kuriems suteiktas pseudonimas, yra asmens duomenys vien dėl to, kad yra papildomos informacijos, leidžiančios juos priskirti konkrečiam asmeniui.

64

EDAPP teigimu, skundžiamo sprendimo 90 ir 91 punktuose pateiktais argumentais nepakankamai atsižvelgiama į šių nuostatų formuluotę ir skirtumą tarp anonimizavimo ir pseudonimų suteikimo. Šiuo klausimu Europos duomenų apsaugos valdyba patikslina, kad, remiantis Bendrojo Teismo pateiktu aiškinimu, asmens duomenų pobūdis pasikeičia, kai jie perduodami ne duomenų valdytojui, neturinčiam papildomos informacijos, leidžiančios nustatyti duomenų subjekto tapatybę. Toks aiškinimas leistų tokiam valdytojui nepagrįstai pašalinti asmens duomenis iš Sąjungos teisės dėl tokių duomenų apsaugos taikymo srities, net jei dėl išorės subjekto atliekamo duomenų tvarkymo duomenų subjektams kiltų didelė rizika.

65

Be to, EDAPP pažymi, kad įtraukdamas pseudonimų suteikimo sąvoką Sąjungos teisės aktų leidėjas paaiškino, jog tam, kad asmens duomenys nepatektų į Sąjungos teisės dėl tokių duomenų apsaugos taikymo sritį, nepakanka atskirti šiuos duomenis nuo papildomos informacijos, leidžiančios nustatyti duomenų subjekto tapatybę.

66

Galiausiai EDAPP primena, kad asmens duomenų sąvoka turi būti aiškinama plačiai, o tai, jo nuomone, yra būtina, kad teisė dėl duomenų apsaugos būtų veiksminga. Kadangi Bendrojo Teismo aiškinimas leistų duomenis, kuriems suteikti pseudonimai, klaidingai laikyti anoniminiais duomenimis, jis galėtų pakenkti Sąjungos teisės aktų leidėjo siekiamai aukšto lygio apsaugai, kurios reikalaujama pagal Chartiją. Europos duomenų apsaugos valdybos teigimu, Bendrojo Teismo pateiktas aiškinimas taip pat kelia pavojų, kad duomenys, kuriems suteikti pseudonimai, galėtų būti be apribojimų tvarkomi pagal BDAR ir Reglamentą 2018/1725, įskaitant dalijimąsi jais, jų skelbimą ir perdavimą trečiosioms šalims.

67

BPV, palaikoma Komisijos, prieštarauja šiems argumentams.

68

Pirmojo pagrindo antros dalies pirmas priekaištas iš esmės grindžiamas tuo, kad tokie duomenys, kuriems suteikti pseudonimai, kaip Deloitte perduoti komentarai, bet kuriuo atveju yra asmens duomenys vien dėl to, kad yra informacijos, leidžiančios nustatyti duomenų subjekto tapatybę, nesant reikalo konkrečiai nagrinėti, ar, nepaisant pseudonimo suteikimo, galima nustatyti asmens, apie kurį yra šie duomenys, tapatybę.

69

Šiuo klausimu reikia priminti, kad pagal patį Reglamento 2018/1725 3 straipsnio 1 punktą tam, kad informacija būtų laikoma asmens duomenimis, kaip tai suprantama pagal šią nuostatą, ji turi būti apie fizinį asmenį, kurio „tapatybė nustatyta arba kurio tapatybę galima nustatyti“. Taigi tam, kad būtų taikomas šis reglamentas, iš esmės reikia išnagrinėti, ar asmuo, apie kurį yra nagrinėjama informacija, yra nustatytas arba gali būti nustatytas.

70

Šį aiškinimą patvirtina Reglamento 2018/1725 16 konstatuojamosios dalies penktas ir šeštas sakiniai, pagal kuriuos į sąvokos „asmens duomenys“ apibrėžtį nepatenka „anonimi[nė] informacij[a], t. y. informacij[a], kuri nėra susijusi su fiziniu asmeniu, kurio tapatybė yra nustatyta arba gali būti nustatyta“, ir „asmens duomen[ys], kurių anonimiškumas užtikrintas taip, kad duomenų subjekto tapatybė negali arba nebegali būti nustatyta“ (šiuo klausimu žr. 2023 m. gruodžio 5 d. Sprendimą Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, 57 punktą).

71

Konkrečiai kalbant apie duomenis, kuriems suteikti pseudonimai, reikia pažymėti, pirma, kad šie duomenys nepaminėti Reglamento 2018/1725 3 straipsnio 1 punkte pateiktoje sąvokos „asmens duomenys“ teisinėje apibrėžtyje, o jų ypatybės matyti iš šio reglamento 3 straipsnio 6 punkto. Šio nuostatoje sąvoka „pseudonimų suteikimas“ apibrėžta kaip „asmens duomenų tvarkymas taip, kad asmens duomenys nebegalėtų būti priskirti konkrečiam duomenų subjektui nesinaudojant papildoma informacija, jeigu tokia papildoma informacija yra saugoma atskirai ir jos atžvilgiu taikomos techninės bei organizacinės priemonės siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti“.

72

Taigi, kaip iš esmės pažymėjo generalinis advokatas išvados 46 ir 48 punktuose, pseudonimų suteikimas nėra „asmens duomenų“ apibrėžties elementas, o yra susijęs su techninių ir organizacinių priemonių, kuriomis siekiama sumažinti duomenų visumos susiejimo su duomenų subjektų tapatybe riziką, įdiegimu. Pagal minėto reglamento 17 konstatuojamąją dalį pseudonimų suteikimas „gali [tik] sumažinti <…> pavojus“, kylančius šiems asmenims dėl tokio susiejimo, ir taip „padėti duomenų valdytojams ir duomenų tvarkytojams įvykdyti savo duomenų apsaugos prievoles“.

73

Iš Reglamento 2018/1725 3 straipsnio 6 punkto matyti, kad sąvoka „pseudonimų suteikimas“ reiškia, kad yra informacijos, leidžiančios nustatyti duomenų subjekto tapatybę. Dėl paties tokios informacijos buvimo duomenų, kuriems suteikti pseudonimai, bet kuriuo atveju negalima laikyti anoniminiais duomenimis, nepatenkančiais į šio reglamento taikymo sritį.

74

Vis dėlto šio reglamento 3 straipsnio 6 punkte numatytas reikalavimas atskirai saugoti tapatybės nustatymo informaciją ir taikyti technines ir organizacines priemones, „siekiant užtikrinti asmens duomenų nepriskyrimą fiziniam asmeniui, kurio tapatybė yra nustatyta arba kurio tapatybę galima nustatyti“, rodo, kad pseudonimų suteikimo tikslas, be kita ko, yra neleisti, kad duomenų subjekto tapatybė galėtų būti nustatyta naudojant tik duomenis, kuriems suteikti pseudonimai.

75

Iš tiesų, jeigu tokios techninės ir organizacinės priemonės yra veiksmingai įgyvendintos ir gali užkirsti kelią atitinkamų duomenų priskyrimui duomenų subjektui taip, kad jo tapatybė nėra arba nebegali būti nustatyta, pseudonimų suteikimas gali turėti įtakos šių duomenų priskyrimui asmens duomenims, kaip tai suprantama pagal Reglamento 2018/1725 3 straipsnio 1 punktą.

76

Šiuo klausimu reikia pažymėti, kad, kaip paprastai būna duomenų valdytojo, kuris suteikė pseudonimus, atveju, nagrinėjamu atveju BPV turi papildomos informacijos, leidžiančios Deloitte perduotus komentarus priskirti duomenų subjektui, todėl, nepaisant pseudonimų suteikimo, šie komentarai išsaugo asmens duomenų pobūdį.

77

Kiek tai susiję su Deloitte, kuriai BPV perdavė komentarus, kuriems suteikti pseudonimai, Reglamento 2018/1725 3 straipsnio 6 punkte nurodytos techninės ir organizacinės priemonės, kaip iš esmės teigia BPV, gali lemti tai, kad šiai bendrovei šie komentarai nėra asmeninio pobūdžio. Vis dėlto tai reiškia, kad, pirma, Deloitte negali panaikinti šių priemonių kiekvieną kartą, kai minėti komentarai nagrinėjami jai prižiūrint. Antra, šiomis priemonėmis iš tikrųjų turi būti užkirstas kelias priskirti tuos komentarus duomenų subjektui ir naudojant kitas tapatybės nustatymo priemones, kaip antai sulyginimą su kitais duomenimis, todėl, Deloitte nuomone, duomenų subjekto tapatybė nėra arba negali būti nustatyta.

78

Šį aiškinimą patvirtina Reglamento 2018/1725 16 konstatuojamoji dalis, kurios pirmame sakinyje nurodyta, kad „duomenų apsaugos principai turėtų būti taikomi bet kokiai informacijai apie fizinį asmenį, kurio asmens tapatybė yra nustatyta arba gali būti nustatyta“, o antrame sakinyje numatyta, kad „[a]smens duomenys, kuriems suteikti pseudonimai ir kurie galėtų būti priskirti fiziniam asmeniui, pasinaudojus papildoma informacija, turėtų būti laikomi informacija apie fizinį asmenį, kurio tapatybė gali būti nustatyta“.

79

Iš tiesų po nuorodos į asmens duomenis ir duomenis, kuriems suteikti pseudonimai, šios konstatuojamosios dalies trečiame sakinyje patikslinta, kad siekiant įvertinti, ar galima nustatyti fizinio asmens tapatybę, reikia atsižvelgti į „visas priemones, <…> kurias asmens tapatybei <…> nustatyti, pagrįstai tikėtina, galėtų naudoti“ duomenų valdytojas arba „kitas asmuo“„tiesiogiai ar netiesiogiai“. Be to, šios konstatuojamosios dalies ketvirtame sakinyje nurodyta, jog įsitikinant, ar tam tikros priemonės, pagrįstai tikėtina, galėtų būti naudojamos siekiant nustatyti fizinio asmens tapatybę, reikėtų atsižvelgti į visus objektyvius veiksnius, pavyzdžiui, sąnaudas ir laiko trukmę, kurių prireiktų tapatybei nustatyti, turint omenyje duomenų tvarkymo metu turimas technologijas bei technologinę plėtrą.

80

Kaip iš esmės pažymėjo generalinis advokatas išvados 51 punkte, šie patikslinimai, susiję su galimybės nustatyti duomenų subjekto tapatybę vertinimu, taptų visiškai neveiksmingi, jeigu duomenys, kuriems suteikti pseudonimai, bet kuriuo atveju ir kiekvieno asmens atžvilgiu būtų laikomi asmens duomenimis, kaip tai suprantama pagal Reglamentą 2018/1725.

81

Šiuo klausimu reikia priminti, kad, kiek tai susiję su pranešimu spaudai, kuriame pateikta tam tikra informacija apie asmenį, nenurodant jo pavardės, 2024 m. kovo 7 d. Sprendime OC / Komisija (C‑479/22 P, EU:C:2024:215, 52–64 punktai) Teisingumo Teismas neapsiribojo konstatavimu, kad šį pranešimą paskelbusi Sąjungos įstaiga turėjo visą informaciją, leidžiančią nustatyti šio asmens tapatybę, bet išnagrinėjo, ar minėtame pranešime pateikta informacija leidžia suinteresuotajai visuomenei pagrįstai nustatyti šio asmens tapatybę, be kita ko, pasitelkiant tiek šias nuorodas, tiek internete prieinamą informaciją.

82

Be to, Teisingumo Teismas jau yra nusprendęs, kad priemonė negali būti pagrįstai naudojama atitinkamo asmens tapatybei nustatyti, kai asmens tapatybės nustatymo rizika iš tikrųjų atrodo nereikšminga, nes šio asmens tapatybės nustatymas yra draudžiamas pagal įstatymą arba praktiškai neįmanomas, pavyzdžiui, dėl to, kad jis reikalauja neproporcingų pastangų laiko, sąnaudų ir žmogiškųjų išteklių požiūriu (šiuo klausimu žr. 2024 m. kovo 7 d. Sprendimo OC / Komisija, C‑479/22 P, EU:C:2024:215, 51 punktą ir jame nurodytą jurisprudenciją). Ši jurisprudencija patvirtina aiškinimą, kad vien papildomos informacijos, leidžiančios nustatyti duomenų subjekto tapatybę, buvimas nereiškia, kad duomenys, kuriems suteikti pseudonimai, bet kuriuo atveju ir kiekvieno asmens atžvilgiu turi būti laikomi asmens duomenimis Reglamento 2018/1725 taikymo tikslais.

83

Vadovaudamasis ta pačia logika Teisingumo Teismas, be kita ko, 2016 m. spalio 19 d. Sprendime Breyer (C‑582/14, EU:C:2016:779, 44, 47 ir 48 punktai) ir 2024 m. kovo 7 d. Sprendime IAB Europe (C‑604/22, EU:C:2024:214, 43 ir 48 punktai) iš esmės konstatavo, kad patys duomenys, kurie nėra asmens duomenys, kuriuos surinko ir saugo duomenų valdytojas, vis dėlto yra apie asmenį, kurio tapatybė gali būti nustatyta, jeigu duomenų valdytojas teisėtais būdais gali gauti šią papildomą informaciją, leidžiančią nustatyti asmens tapatybę, iš kitų asmenų. Iš tiesų tokiomis aplinkybėmis tai, kad informaciją, leidžiančią nustatyti duomenų subjekto tapatybę, turėjo įvairūs asmenys, negalėjo veiksmingai užkirsti kelio jo tapatybei nustatyti taip, kad duomenų valdytojas negalėtų jo nustatyti.

84

Visų pirma, remiantis 2023 m. lapkričio 9 d. Sprendime Gesamtverband Autoteile-Handel (Galimybė susipažinti su informacija apie transporto priemones) (C‑319/22, EU:C:2023:837, 46 ir 49 punktai) suformuota jurisprudencija, duomenys, kurie patys savaime nėra asmens duomenys, gali įgyti „asmens duomenų“ pobūdį, kai duomenų valdytojas suteikia galimybę jais naudotis kitiems asmenims, kurie turi priemonių, leidžiančių pagrįstai nustatyti duomenų subjekto tapatybę. Visų pirma iš šio sprendimo matyti, kad, kiek tai susiję su tokios galimybės suteikimu, minėti duomenys yra asmens duomenys tiek šiems asmenims, tiek netiesiogiai duomenų valdytojui.

85

Taigi, atsižvelgdamas į ankstesniame punkte primintą jurisprudenciją, EDAPP klaidingai teigia, kad aplinkybė, jog duomenys, kuriems suteikti pseudonimai, tam tikrais atvejais neturi asmeninio pobūdžio asmenims, kuriems duomenų valdytojas perduoda duomenis, kuriems suteikti pseudonimai, leistų nepagrįstai pašalinti šiuos duomenis iš Sąjungos teisės dėl asmens duomenų apsaugos taikymo srities. Iš tiesų pagal šią jurisprudenciją ši aplinkybė neturi įtakos vertinant šių duomenų priskyrimą asmens duomenims, be kita ko, atsižvelgiant į galimą vėlesnį perdavimą tretiesiems asmenims. Taigi, jeigu negalima atmesti galimybės, kad šie tretieji asmenys galės pagrįstai priskirti duomenis, kuriems suteiktas pseudonimas, duomenų subjektui naudodamiesi tokiomis priemonėmis, pavyzdžiui, sutikrindami juos su kitais turimais duomenimis, duomenų subjektas turi būti laikomas asmeniu, kurio tapatybę galima nustatyti, tiek dėl šio perdavimo, tiek dėl bet kokio vėlesnio šių trečiųjų asmenų atliekamo šių duomenų tvarkymo. Tokiomis aplinkybėmis duomenys, kuriems suteikti pseudonimai, turėtų būti laikomi asmens duomenimis.

86

Darytina išvada, kad, priešingai, nei teigia EDAPP, duomenys, kuriems suteikti pseudonimai, bet kuriuo atveju neturi būti laikomi asmens duomenimis kiekvieno asmens atžvilgiu taikant Reglamentą 2018/1725, jeigu pseudonimų suteikimas, atsižvelgiant į konkretų atvejį, gali veiksmingai užkirsti kelią kitiems asmenims nei duomenų valdytojas nustatyti duomenų subjekto tapatybę taip, kad jų atveju duomenų subjekto tapatybė nėra arba nebegali būti nustatyta.

87

Šio aiškinimo nepaneigia EDAPP nurodyta aplinkybė, kad Reglamento 2018/1725 16 konstatuojamosios dalies ketvirtas sakinys susijęs su duomenų valdytoju arba „kitu asmeniu“. Iš tiesų iš paties šio sakinio teksto, priminto šio sprendimo 79 punkte, matyti, kad jis susijęs tik su asmenimis, kurie turi arba gali turėti prieigą prie priemonių, kurios pagrįstai galėtų būti naudojamos atitinkamo asmens tapatybei nustatyti. Kaip pažymėta šio sprendimo 75–77 punktuose, pseudonimų suteikimas, atsižvelgiant į konkretų atvejį, gali iš tikrųjų užkirsti kelią kitiems asmenims nei duomenų valdytojas nustatyti duomenų subjekto tapatybę taip, kad jų atveju duomenų subjekto tapatybė nėra arba nebegali būti nustatyta.

88

Kiek tai susiję su EDAPP argumentu, grindžiamu tikslu užtikrinti aukštą asmens duomenų apsaugos lygį, pažymėtina, kad nors Reglamento 2018/1725 3 straipsnio 1 punkto formuluotė atspindi Sąjungos teisės aktų leidėjo tikslą sąvokai „asmens duomenys“ suteikti plačią reikšmę, ši sąvoka nėra neribota, nes pagal šią nuostatą, be kita ko, reikalaujama, kad duomenų subjekto tapatybė būtų nustatyta arba jo tapatybę būtų galima nustatyti.

89

Konkrečiai kalbant, kaip pažymėjo generalinis advokatas išvados 58 punkte, Reglamente 2018/1725 įtvirtintos pareigos, kaip antai jo 15 straipsnyje numatyta pareiga pateikti informaciją duomenų subjektui, kurių laikymuisi užtikrinti turi būti nustatyta duomenų subjekto tapatybė. Tačiau tokios pareigos negali būti taikomos subjektui, kuris niekaip negali nustatyti tapatybės.

90

Taigi pirmojo pagrindo antros dalies pirmą priekaištą reikia atmesti kaip nepagrįstą.

91

Pirmojo pagrindo antros dalies antrame priekaište EDAPP teigia, kad Bendrasis Teismas nepaisė 2016 m. spalio 19 d. Sprendime Breyer (C‑582/14, EU:C:2016:779) suformuotos jurisprudencijos.

92

Pirma, Bendrasis Teismas neatsižvelgė į objektyvų sąlygos, susijusios su „galimybe nustatyti“ duomenų subjektą, pobūdį, kai skundžiamo sprendimo 97, 99 ir 100 punktuose, be kita ko, nusprendė, kad EDAPP turėjo išnagrinėti, ar Deloitte perduoti komentarai yra asmens duomenys pastarosios požiūriu. EDAPP teigimu, iš 2016 m. spalio 19 d. Sprendimo Breyer (C‑582/14, EU:C:2016:779) 47 ir 48 punktų matyti, kad vien teisėtų būdų nustatyti duomenų subjekto tapatybę egzistavimo pakanka, kad būtų galima daryti išvadą, jog šio asmens tapatybė gali būti nustatyta. Nagrinėjamu atveju BPV galėjo nustatyti atitinkamų asmenų tapatybę, o Bendrasis Teismas, taikydamas tame sprendime suformuotą jurisprudenciją, nepakankamai atsižvelgė į šią aplinkybę.

93

Antra, EDAPP teigia, kad minėtame sprendime tai, ar duomenų subjektas gali būti nustatytas, buvo vertinama duomenų valdytojo požiūriu, nesant jokių santykių tarp šio duomenų valdytojo ir subjektų, turinčių papildomos informacijos, leidžiančios nustatyti šio asmens tapatybę. Vis dėlto nagrinėjamu atveju Deloitte nėra duomenų valdytoja ir, be to, yra saistoma sutarties su BPV. Atsižvelgdamas į šiuos skirtumus EDAPP mano, kad jis neprivalėjo atlikti išsamaus priemonių, kuriomis Deloitte pagrįstai galėtų nustatyti duomenų subjektų tapatybę, vertinimo.

94

Bet kuriuo atveju, jeigu vis dėlto būtų turėjęs įvertinti, ar Deloitte galėjo nustatyti jai perduotų komentarų autorių tapatybę, EDAPP teigia, kad niekas netrukdė Deloitte to daryti.

95

BPV, palaikoma Komisijos, prieštarauja šiems argumentams.

96

Pirma, jos teigia, kad skundžiamo sprendimo 96, 97 ir 100 punktuose Bendrasis Teismas teisingai rėmėsi požiūriu, kad galimybė nustatyti duomenų subjekto tapatybę turi būti nagrinėjama atsižvelgiant į kiekvieną asmenį ir kiekvieną atitinkamą duomenų valdytoją, kuris tvarko reikšmingą informaciją. Atsižvelgiant į Reglamento 2018/1725 15 straipsnio 1 dalies d punkte numatytą pareigą pateikti informaciją, šis nagrinėjimas turi būti atliekamas atsižvelgiant į aptariamos informacijos gavėją.

97

Antra, BPV teigia, kad argumentai, grindžiami tariamais šios bylos ir bylos, kurioje priimtas 2016 m. spalio 19 d. Sprendimas Breyer (C‑582/14, EU:C:2016:779), skirtumais, yra nepriimtini. Jis mano, kad šiais argumentais ginčijamos skundžiamo sprendimo 94 ir 95 punktuose Bendrojo Teismo konstatuotos faktinės aplinkybės, pagal kurias Deloitte neturėjo prieigos prie tapatybės nustatymo informacijos, būtinos pareiškėjų tapatybei nustatyti.

98

Skundžiamo sprendimo 97–100 punktuose Bendrasis Teismas iš esmės nusprendė, kad pagal 2016 m. spalio 19 d. Sprendime Breyer (C‑582/14, EU:C:2016:779) suformuotą jurisprudenciją EDAPP turėjo išnagrinėti, ar Deloitte perduoti komentarai pastarosios požiūriu yra asmens duomenys. Kad padarytų šią išvadą, Bendrasis Teismas, be kita ko, pažymėjo, kad ginčijamame sprendime konstatuotą Reglamento 2018/1725 15 straipsnio 1 dalies d punkto pažeidimas susijęs su BPV atliktu šių komentarų perdavimu Deloitte, o ne vien su tuo, kad BPV juos turėjo.

99

Pirmiausia reikia priminti, kad Reglamento 2018/1725 3 straipsnio 1 punkte aiškiai nenurodyta, kurio subjekto požiūriu svarbu įvertinti, ar galima nustatyti duomenų subjekto tapatybę, o šio reglamento 16 konstatuojamojoje dalyje nedaroma skirtumo tarp „duomenų valdytojo“ arba „kito asmens“. Be to, pagal suformuotą jurisprudenciją tam, kad duomenys būtų laikomi „asmens duomenimis“, nereikalaujama, kad visą informaciją, leidžiančią nustatyti atitinkamo asmens tapatybę, turėtų vienas asmuo (šiuo klausimu žr. 2016 m. spalio 19 d. Sprendimo Breyer, C‑582/14, EU:C:2016:779, 43 punktą ir 2024 m. kovo 7 d. Sprendimo OC / Komisija, C‑479/22 P, EU:C:2024:215, 48 punktą).

100

Remiantis šio sprendimo 81–84 punktuose priminta jurisprudencija, suformuota, be kita ko, 2016 m. spalio 19 d. Sprendime Breyer (C‑582/14, EU:C:2016:779), tinkamas požiūris vertinant, ar duomenų subjekto tapatybę galima nustatyti, iš esmės priklauso nuo aplinkybių, apibūdinančių duomenų tvarkymą kiekvienu konkrečiu atveju.

101

Nagrinėjamu atveju reikia priminti, kad ginčijamame sprendime EDAPP konstatavo, jog, komentarų rinkimo metu pateiktame pareiškime dėl privatumo nepaminėjusi Deloitte kaip potencialios jų adresatės, BPV neįvykdė pareigos pateikti informaciją, kylančios iš Reglamento 2018/1725 15 straipsnio 1 dalies d punkto.

102

Šio reglamento 15 straipsnio 1 dalyje nustatyta informacija, kurią duomenų valdytojas turi pateikti duomenų subjektui, kai iš jo renkami asmens duomenys, kartu patikslinant, kad ši informacija šiam duomenų subjektui turi būti pateikta „duomenų gavimo metu“. Iš pačios šios nuostatos formuluotės matyti, kad šią informaciją duomenų valdytojas turi pateikti nedelsdamas, t. y. šių duomenų rinkimo momentu (pagal analogiją žr. 2019 m. liepos 29 d. Sprendimo Fashion ID, C‑40/17, EU:C:2019:629, 104 punktą ir jame nurodytą jurisprudenciją).

103

Konkrečiai kalbant apie minėto reglamento 15 straipsnio 1 dalies d punkte nurodytą informaciją apie galimus asmens duomenų gavėjus, pažymėtina, kad tai yra informacija, kuri, be kita ko, turi būti pateikta renkant duomenis iš duomenų subjekto.

104

Reglamento 2018/1725 14 straipsnio 1 dalyje numatyta, kad duomenų valdytojas imasi tinkamų priemonių, kad, be kita ko, šio reglamento 15 straipsnyje nurodyta informacija duomenų subjektui būtų pateikta glausta, skaidria, suprantama, lengvai prieinama forma ir būtų pateikiama aiškia ir paprasta kalba, kad duomenų subjektas galėtų visapusiškai suprasti jam skirtą informaciją (pagal analogiją žr. 2023 m. gegužės 4 d. Sprendimo Österreichische Datenschutzbehörde ir CRIF, C‑487/21, EU:C:2023:369, 38 punktą ir 2024 m. liepos 11 d. Sprendimo Meta Platforms Ireland (Atstovaujamasis ieškinys), C‑757/22, EU:C:2024:598, 55 ir 56 punktus).

105

Pareigos pateikti informaciją laikymosi svarba patvirtinta Reglamento 2018/1725 35 konstatuojamojoje dalyje, kurios pirmame ir antrame sakiniuose nurodyta, jog pagal sąžiningo ir skaidraus duomenų tvarkymo principus duomenų subjektui pranešama apie vykdomą duomenų tvarkymo operaciją ir jos tikslus, ir pabrėžiama, jog duomenų valdytojas taip pat turėtų pateikti duomenų subjektui visą papildomą informaciją, kuri būtina tam, kad būtų užtikrintas sąžiningas ir skaidrus duomenų tvarkymas, atsižvelgiant į konkrečias asmens duomenų tvarkymo aplinkybes ir kontekstą, kaip tai numatyta šio reglamento 15 straipsnio 2 dalyje (pagal analogiją žr. 2024 m. liepos 11 d. Sprendimo Meta Platforms Ireland (Atstovaujamasis ieškinys), C‑757/22, EU:C:2024:598, 57 punktą ir jame nurodytą jurisprudenciją).

106

Taigi, kai tokių duomenų rinkimas iš duomenų subjekto, kaip nagrinėjamu atveju per procedūrą dėl teisės būti išklausytam, grindžiamas šio asmens sutikimu, šio asmens duoto sutikimo galiojimas priklauso, be kita ko, nuo to, ar jis iš anksto gavo informaciją apie visas su nagrinėjamų duomenų tvarkymu susijusias aplinkybes, į kurią jis turėjo teisę pagal Reglamento 2018/1725 15 straipsnį ir kuria remdamasis jis gali duoti sutikimą žinodamas visas aplinkybes (pagal analogiją žr. 2024 m. liepos 11 d. Sprendimo Meta Platforms Ireland (Atstovaujamasis ieškinys), C‑757/22, EU:C:2024:598, 60 punktą).

107

Be to, kiek tai susiję su duomenų subjekto pareiga pateikti asmens duomenis duomenų valdytojui, šio reglamento 35 konstatuojamosios dalies ketvirtame sakinyje nurodyta, jog svarbu, kad duomenų subjektas žinotų, ar yra įpareigotas pateikti šiuos asmens duomenis, ir kad jis būtų informuotas apie pasekmes, kurių gali patirti, jei jų nepateiks, o tai patvirtina pagal minėto reglamento 15 straipsnį reikalaujamos informacijos svarbą renkant duomenis iš duomenų subjekto.

108

Šiomis aplinkybėmis atrodo, kad pareiga pateikti duomenų subjektui – renkant su juo susijusius asmens duomenis – informaciją apie galimus šių duomenų gavėjus, be kita ko, siekiama suteikti šiam asmeniui galimybę žinant visas aplinkybes nuspręsti, ar jis pateiks iš jo renkamus asmens duomenis, ar, priešingai, atsisakys juos pateikti.

109

Reikia pridurti, kad, kaip per teismo posėdį iš esmės teigė Komisija, informacija apie galimus duomenų gavėjus, žinoma, taip pat būtina tam, kad duomenų subjektas vėliau galėtų ginti savo teises šių gavėjų atžvilgiu. Vis dėlto pareiga pateikti šią informaciją renkant asmens duomenis, be kita ko, užtikrina, kad duomenų valdytojas nerinktų šių duomenų prieš duomenų subjekto valią arba neperduotų trečiosioms šalims jam prieštaraujant.

110

Darytina išvada, kad, kaip pažymėjo generalinis advokatas išvados 69 punkte, Reglamento 2018/1725 15 straipsnio 1 dalies d punkte numatyta pareiga pateikti informaciją yra duomenų subjekto ir duomenų valdytojo teisinių santykių dalis, todėl jos dalykas yra su šiuo subjektu susijusi informacija, kuri buvo perduota šiam duomenų valdytojui, taigi ji taikoma prieš bet kokį galimą perdavimą trečiajam asmeniui.

111

Taigi reikia konstatuoti, kad taikant Reglamento 2018/1725 15 straipsnio 1 dalies d punkte numatytą pareigą informuoti galimybė nustatyti duomenų subjekto tapatybę turi būti vertinama duomenų rinkimo momentu ir duomenų valdytojo požiūriu.

112

Tuo remiantis darytina išvada, kad, kaip iš esmės pažymėjo generalinis advokatas išvados 79 punkte, BPV pareiga pateikti informaciją nagrinėjamu atveju buvo taikoma prieš perduodant aptariamus komentarus ir neatsižvelgiant į tai, ar Deloitte požiūriu po galimo pseudonimų jiems suteikimo jie yra asmens duomenys.

113

Šio aiškinimo nepaneigia BPV argumentas, grindžiamas Reglamento 2018/1725 15 straipsnio 1 dalies d punkto formuluote, kurioje nurodyti „asmens duomenų gavėj[ai]“. Iš tiesų, kaip matyti iš šio sprendimo 102–108 punktų, šioje nuostatoje reglamentuojama duomenų valdytojo pareiga pateikti informaciją tokių duomenų rinkimo momentu. Tai, ar tuo momentu duomenų valdytojas laikėsi pareigos pateikti informaciją, negali priklausyti nuo duomenų subjekto tapatybės nustatymo galimybių, kurias esant tam tikroms aplinkybėms galėtų turėti galimas duomenų gavėjas vėliau perdavus aptariamus duomenis.

114

Kaip iš esmės pažymėjo generalinis advokatas išvados 77 punkte, dėl BPV argumento, kad šios pareigos pateikti informaciją laikymąsi reikėtų tikrinti atsižvelgiant į gavėjo požiūrį, šis patikrinimas atidedamas laiko atžvilgiu. Kadangi minėtas patikrinimas neišvengiamai susijęs su duomenų gavėjui jau perduotais asmens duomenimis, šiais argumentais taip pat neatsižvelgiama į pareigos pateikti informaciją, kuri neatsiejamai susijusi su duomenų valdytojo ir duomenų subjekto santykiais, dalyką.

115

Taigi Bendrasis Teismas padarė teisės klaidą, kai skundžiamo sprendimo 97, 98, 100, 101 ir 103–105 punktuose nusprendė, kad siekdamas įvertinti, ar BPV laikėsi pareigos pateikti informaciją pagal Reglamento 2018/1725 15 straipsnio 1 dalies d punktą, EDAPP turėjo išnagrinėti, ar Deloitte perduoti komentarai yra asmens duomenys pastarosios požiūriu.

116

Darytina išvada, kad, nesant reikalo nagrinėti šio sprendimo 93 ir 94 punktuose apibendrintų EDAPP argumentų, pirmojo pagrindo antros dalies antram priekaištui reikia pritarti.

117

Kadangi apeliacinio skundo pirmojo pagrindo pirma dalis ir antros dalies antras priekaištas yra pagrįsti, nereikia nagrinėti EDAPP antrojo pagrindo, grindžiamo Reglamento 2018/1725 4 straipsnio 2 dalies ir 26 straipsnio 1 dalies pažeidimu.

118

Kadangi pirmasis apeliacinio skundo pagrindas pripažintas pagrįstu, reikia panaikinti skundžiamą sprendimą.

119

Pagal Europos Sąjungos Teisingumo Teismo statuto 61 straipsnio pirmos pastraipos antrą sakinį Teisingumo Teismas gali, jei panaikina Bendrojo Teismo sprendimą, priimti galutinį sprendimą, jei toje bylos stadijoje tai galima daryti.

120

Nagrinėjamu atveju šioje bylos stadijoje galima priimti sprendimą dėl ieškinio pirmojo pagrindo, grindžiamo tuo, kad EDAPP tariamai pažeidė Reglamento 2018/1725 3 straipsnio 1 punktą, nes Deloitte perduota informacija nėra asmens duomenys. Iš tiesų, atsižvelgiant į tai, kas išdėstyta šio sprendimo 58–60 punktuose, EDAPP, pirma, nepadarydamas teisės klaidos galėjo nuspręsti, kad Deloitte perduoti komentarai yra informacija apie fizinius asmenis, t. y. šių komentarų autorius. Kita vertus, kaip pažymėta to sprendimo 111 punkte, taikant šio reglamento 15 straipsnio 1 dalies d punkte numatytą pareigą pateikti informaciją, tai, ar duomenų subjekto tapatybė gali būti nustatyta, turi būti vertinama atsižvelgiant į duomenų valdytojo požiūrį. Šalys neginčija, kad BPV, kaip duomenų valdytoja, turėjo visą informaciją, būtiną minėtų komentarų autorių tapatybei nustatyti. Iš to, kas išdėstyta, matyti, kad ginčijama informacija, priešingai, nei teigia BPV, yra asmens duomenys. Taigi ieškinio pirmąjį pagrindą reikia atmesti kaip nepagrįstą.

121

Vis dėlto šioje bylos stadijoje negalima priimti sprendimo dėl ieškinio antrojo pagrindo, nes šis pagrindas susijęs su faktinių aplinkybių vertinimu, kurio Bendrasis Teismas neatliko.

122

Vadinasi, reikia grąžinti bylą Bendrajam Teismui, kad šis išnagrinėtų antrąjį pagrindą.

123

Kadangi byla grąžintina Bendrajam Teismui, reikia atidėti su šiuo apeliaciniu procesu susijusių bylinėjimosi išlaidų klausimo nagrinėjimą.

Remdamasis šiais motyvais, Teisingumo Teismas (pirmoji kolegija) nusprendžia: