1.

Apelācijas sūdzībā Eiropas Datu aizsardzības uzraudzītājs (EDAU) lūdz atcelt Eiropas Savienības Vispārējās tiesas 2023. gada 26. aprīļa spriedumu VNV/EDAU (T‑557/20, turpmāk tekstā – “pārsūdzētais spriedums”, EU:T:2023:219), ar kuru tā atcēla EDAU 2020. gada 24. novembra pārskatīto lēmumu (turpmāk tekstā – “strīdīgais lēmums”) par piecām akcionāru un kreditoru, kurus bija skāris bankas Banco Popular Español SA (turpmāk tekstā – “Banco Popular”) noregulējums, iesniegtajām sūdzībām par to, ka viņi nav bijuši informēti par viņu personas datu nodošanu.

2.

Šī lieta Tiesai pseidonimizētu datu kontekstā dod iespēju precizēt jēdzienu “personas dati” un no tā izrietošos pienākumus, lai tiktu izpildīti godprātīgas un pārredzamas datu apstrādes pienākumi.

3.

Regulas (ES) 2018/1725 ( 2 ) galvenās normas, kas attiecas uz šo apelācijas sūdzību, ir šādas.

4.

Šīs regulas 16. un 17. apsvērums formulēts šādi:

5.

Minētās regulas 3. panta “Definīcijas” 1. un 6. punktā paredzēts, ka:

“Šajā regulā piemēro šādas definīcijas:

[..]

6.

Saskaņā ar šīs pašas regulas 4. panta “Personas datu apstrādes principi” 1. punkta a) apakšpunktu un 2. punktu:

“1.   “Personas dati:

[..],

2.   Pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt (“pārskatatbildība”).”

7.

Regulas 2018/1725 15. panta “Informācija, kas jāsniedz, ja personas dati ir iegūti no datu subjekta” 1. punkta d) apakšpunktā noteikts:

“Ja datu subjekta personas datus vāc no datu subjekta, pārzinis personas datu iegūšanas laikā datu subjektam sniedz visu šādu informāciju:

[..]

8.

2017. gada 7. jūnijā Vienotā noregulējuma valde (VNV) pieņēma noregulējuma shēmu attiecībā uz Banco Popular, pamatojoties uz Eiropas Parlamenta un Padomes Regulu (ES) Nr. 806/2014 (2014. gada 15. jūlijs), ar ko izveido vienādus noteikumus un vienotu procedūru kredītiestāžu un noteiktu ieguldījumu brokeru sabiedrību noregulējumam, izmantojot vienotu noregulējuma mehānismu un vienotu noregulējuma fondu, un groza Regulu (ES) Nr. 1093/2010 ( 3 ), kas tajā pašā dienā apstiprināta ar Eiropas Komisijas lēmumu ( 4 ), un tas konkrēti nozīmē bankas kapitāla instrumentu norakstīšanu vai konvertēšanu un akciju nodošanu.

9.

Saskaņā ar Regulas Nr. 806/2014 20. panta 16.–18. punktu VNV uzticēja Deloitte kā “neatkarīgai personai” ( 5 ) veikt vērtējumu par atšķirīgu attieksmi, lai noteiktu, vai attieksme pret akcionāriem un kreditoriem, kurus tādējādi skāra noregulējuma shēma, būtu bijusi labvēlīgāka, ja šai institūcijai būtu piemērota parastā maksātnespējas procedūra.

10.

2018. gada 14. jūnijāDeloitte iesniedza VNV šo vērtējumu par atšķirīgu attieksmi (turpmāk tekstā – “3. vērtējums”). Ar iepriekšēju lēmumu VNV norādīja, ka, lai tā varētu pieņemt galīgo lēmumu par to, vai Banco Popular noregulējuma skartajiem akcionāriem un kreditoriem ir jāpiešķir kompensācija saskaņā ar Regulas Nr. 806/2014 76. panta 1. punkta e) apakšpunktu, tā saistībā ar tiesībām tikt uzklausītam sāka procedūru, kurā ietverts pirmais reģistrācijas posms, lai pārbaudītu ieinteresētību izteikušo lietas dalībnieku tiesīgumu, un otrais apspriešanas posms, kurā skartie akcionāri un kreditori iesniedza komentārus par VNV iepriekšējo lēmumu, kam pielikumā bija pievienots 3. vērtējums.

11.

Reģistrācijas posmā savāktie dati, proti, pierādījumi par dalībnieku identitāti un īpašumtiesībām uz Banco Popular kapitāla instrumentiem, kuri bija norakstīti vai konvertēti un nodoti, bija pieejami ierobežotam skaitam VNV darbinieku, kas bija atbildīgi par šo datu apstrādi, lai noteiktu dalībnieku tiesīgumu. Šos datus nevarēja redzēt VNV darbinieki, kas bija atbildīgi par apspriešanas posmā saņemto komentāru apstrādi, kuras laikā viņi saņēma tikai komentārus, kas identificēti ar katram veidlapā iesniegtajam komentāram piešķirtu burtciparu kodu ( 6 ).

12.

Pēc komentāru apkopošanas, automātiskas filtrēšanas un iedalīšanas kategorijās VNV nodeva Deloitte ( 7 ) šādi filtrētos, kategorijās iedalītos un apkopotos komentārus par 3. vērtējumu. Deloitte tika nodoti tikai tie komentāri, kuri saņemti apspriešanas posmā, un tiem bija burtciparu kods, kas izstrādāts revīzijas nolūkā, lai VNV varētu pārbaudīt un vajadzības gadījumā a posteriori pierādīt, ka katrs komentārs ir izskatīts un pienācīgi ņemts vērā. VNV bija vienīgā, kas, izmantojot šo kodu, varēja sasaistīt komentārus ar reģistrācijas posmā saņemtajiem datiem. Deloitte nebija un joprojām nav piekļuves reģistrācijas posmā savāktajiem datiem.

13.

Skartie akcionāri un kreditori (turpmāk tekstā – “sūdzības iesniedzēji”), ievērojot Regulu 2018/1725, EDAU iesniedza piecas sūdzības ar pamatojumu, ka VNV publicētajā paziņojumā par konfidencialitāti personas datu apstrādē nav norādes par datu, kas savākti ar veidlapas palīdzību, nodošanu Deloitte. Tie apgalvoja, ka VNV nav izpildījusi minētās regulas 15. panta 1. punkta d) apakšpunktā paredzēto pienākumu sniegt informāciju par personas datu apstrādi saskaņā ar minēto regulu.

14.

EDAU 2020. gada 24. jūnijā pieņēma sākotnējo lēmumu, kas pēc VNV lūguma to pārskatīt atcelts un 2020. gada 24. novembrī aizstāts ar strīdīgo lēmumu, kurš formulēts šādi:

15.

Ar prasību, kas Vispārējās tiesas kancelejā iesniegta 2020. gada 1. septembrī, un 2021. gada 29. janvārī iesniegtu grozījumu rakstu VNV cēla prasību, kurā, pirmkārt, lūdza atcelt strīdīgo lēmumu un, otrkārt, atzīt EDAU 2020. gada 24. jūnija sākotnējo lēmumu par prettiesisku.

16.

Pirmā prasījuma pamatojumam ( 8 ) VNV izvirzīja divus pamatus. Pirmais pamats bija balstīts uz Regulas 2018/1725 3. panta 1. punkta pārkāpumu, jo Deloitte sniegtā informācija neesot personas dati, un otrais pamats – uz Eiropas Savienības Pamattiesību hartas 41. pantā nostiprināto tiesību uz labu pārvaldību pārkāpumu.

17.

Pārsūdzētajā spriedumā Vispārējā tiesa šo prasījumu atzina par pieņemamu. Attiecībā uz lietas būtību tā apmierināja pirmo prasījumu un atcēla strīdīgo lēmumu, neizskatot otro prasījumu.

18.

Saistībā ar pirmo pamatu Vispārējā tiesa, pirmkārt, balstoties uz pieņēmumu, nevis pārbaudot Deloitte nosūtītās informācijas saturu, mērķi un sekas ( 9 ), atzina, ka EDAU bija uzskatījusi, ka Deloitte nosūtītā informācija “attiecās” uz fizisku personu Regulas 2018/1725 3. panta 1. punkta izpratnē – pretēji spriedumam Nowak ( 10 ).

19.

Otrkārt, saistībā ar Regulas 2018/1725 3. panta 1. punktā paredzēto nosacījumu, ka informācijai jāattiecas uz “identificētu vai identificējamu” fizisku personu, Vispārējā tiesa uzskatīja, ka šajā lietā EDAU bija jāpārbauda, vai komentāri, kas nodoti Deloitte, attiecībā uz to ir personas dati. Taču, kā secināms no pārsūdzētā sprieduma, EDAU tikai izvērtēja iespēju atkārtoti identificēt komentāru autorus no VNV, nevis no Deloitte skatpunkta. Tādējādi, tā kā EDAU nav noskaidrojis, vai Deloitte rīcībā bija likumīgi un praktiski pielietojami līdzekļi, kas tai ļautu piekļūt papildu informācijai, kura nepieciešama komentāru autoru atkārtotai identificēšanai, EDAU nevarēja secināt, ka Deloitte nodotā informācija ir informācija, kas attiecas uz “identificējamu fizisku personu” Regulas 2018/1725 3. panta 1. punkta izpratnē ( 11 ).

20.

Ar 2023. gada 5. jūlijā Tiesas kancelejā iesniegto dokumentu EDAU iesniedza apelācijas sūdzību par pārsūdzēto spriedumu. Ar Tiesas priekšsēdētāja 2023. gada 29. novembra rīkojumu ( 12 ) Eiropas Datu aizsardzības kolēģijai tika atļauts iestāties lietā EDAU prasījumu atbalstam, un ar 2023. gada 20. oktobra lēmumu Eiropas Komisijai – VNV atbalstam.

21.

EDAU prasījumi Tiesai ir šādi:

22.

Eiropas Datu aizsardzības kolēģijas, kas lietā iestājusies EDAU atbalstam, prasījumi Tiesai ir šādi:

23.

VNV prasījumi Tiesai ir šādi:

24.

Eiropas Komisijas, kas lietā iestājusies VNV atbalstam, prasījumi Tiesai ir šādi:

25.

Apelācijas sūdzības pamatojumam EDAU, ko atbalsta Eiropas Datu aizsardzības kolēģija, izvirza divus pamatus. Ar pirmo tiek apstrīdēta Vispārējās tiesas sniegtā jēdziena “personas dati” interpretācija Regulas 2018/1725 3. panta 1. un 6. punkta izpratnē, kā tas interpretēts Tiesas judikatūrā. Otrais pamats ir balstīts uz to, ka ir pārkāpts tās pašas regulas 4. panta 2. punktā un 26. panta 1. punktā noteiktais pārskatatbildības princips.

26.

Pirmais pamats ir sadalīts divās daļās. Pirmā daļa skar nosacījumu, ka konkrētajai informācijai “jāattiecas” uz fizisku personu, un otrā daļa skar nosacījumu, ka šai personai jābūt “identificētai vai identificējamai”.

27.

EDAU, kuru atbalsta Eiropas Datu aizsardzības kolēģija, apgalvo, ka Vispārējā tiesa ir kļūdījusies, nospriezdama, ka EDAU, interpretējot nosacījumu, ka Deloitte nodotā informācija attiecās uz fizisku personu Regulas 2018/1725 3. panta 1. punkta izpratnē, balstījās uz pieņēmumu. Tas uzskata, ka, ievērojot konkrētās lietas apstākļus, tam nebija jāveic padziļināta pārbaude.

28.

VNV savukārt apgalvo, ka EDAU aprobežojās ar norādīšanu – kā to nosprieda Vispārējā tiesa –, ka konkrētie komentāri, ko sūdzības iesniedzēji bija iesnieguši procedūras attiecībā uz tiesībām tikt uzklausītam apspriešanas posmā, atspoguļoja viņu viedokļus vai nostājas, lai gan tam būtu bijis jāpārbauda, vai Deloitte nodotā informācija bija saistīta ar konkrētu personu tās satura, mērķa vai seku ziņā, kā prasīts spriedumā Nowak.

29.

Jāatgādina, ka Tiesa ir vairākkārt nospriedusi, ka jēdziena “personas dati” definīcijā izmantotā vārdkopa “jebkuru informāciju” norāda uz Savienības likumdevēja mērķi šo jēdzienu apveltīt ar plašu nozīmi, kas potenciāli aptver gan visa veida objektīvu, gan subjektīvu informāciju ( 13 ) viedokļa vai vērtējumu formā, ja vien šī informācija “attiecas uz” konkrēto personu.

30.

Šajā ziņā informācija attiecas uz identificētu vai identificējamu fizisku personu, ja satura, mērķa vai seku ziņā tā ir “saistīta” ar kādu identificējamu personu ( 14 ).

31.

Saistībā ar tādiem viedokļiem vai vērtējumiem, kādi ir šajā lietā aplūkotie sūdzības iesniedzēju komentāri, man šķiet, ir atbilstoši veikt nošķīrumu, pārbaudot, vai minētie viedokļi vai vērtējumi “ir piesaistīti” personai vai personām, kuras minētas viedokļa vai vērtējumu tekstā, vai arī, kā šajā lietā, jānoskaidro, vai tie ir piesaistīti to autoram. Pirmajā gadījumā – lai secinātu, ka pastāv informācija, kas ir piesaistīta personai, par kuru ir veikts vērtējums, jāanalizē, vai vērtējuma saturs, mērķis vai sekas attiecas uz šo personu. Turpretī otrajā gadījumā – lai noskaidrotu, vai vērtējums ir piesaistīts personai, kura to ir sniegusi, man šķiet, varētu pieņemt, ka tas tā ir un ka viedoklis vai vērtējums noteikti ir piesaistīts tā autoram.

32.

Tādējādi spriedumā Nowak būtībā runa bija par pārbaudes darbā ietvertas informācijas vērtēšanu. Tātad – par divām personām: eksaminējamo personu un eksaminētāju. Taisnība, ka Tiesa pārbaudīja eksaminējamās personas atbilžu saturu, mērķi un sekas, lai secinātu, ka tās attiecas uz eksaminējamo personu. Ņemot to vērā, konkrētāk saistībā ar eksaminētāja piezīmēm, kurās atspoguļots tā viedoklis vai vērtējumus ( 15 ), lai gan Tiesa pārbaudīja darbā ietvertās informācijas saturu, mērķi un sekas, lai secinātu, ka šie vērtējumi attiecas uz eksaminējamo personu, tā neveica šādu pārbaudi, lai atzītu, ka tie ir arī informācija par eksaminētāju, kas bija to autors ( 16 ). Manuprāt, tātad nevar pilnībā izslēgt, ka varētu piemērot (vienkāršu) pieņēmumu, kad jānovērtē, vai viedoklis vai vērtējums, vai, kā šajā lietā, komentārs “attiecas” uz tā autoru.

33.

No tā secinu, ja vien nepierāda pretējo, ka šajā lietā aplūkotie komentāri, ciktāl tie izrietēja no sūdzību iesniedzējiem un parādīja viņu “loģiku un argumentāciju”, tādējādi atspoguļojot to “subjektīvā viedokļa” izpausmi, noteikti “attiecās” uz minētajiem sūdzību iesniedzējiem, neatkarīgi no to komentāru mērķa vai sekām.

34.

Katrā ziņā pat bez šāda pieņēmuma šajā lietā uzskatu, ka konkrētie komentāri “ir piesaistīti” sūdzības iesniedzējiem to satura, mērķa un seku dēļ.

35.

Šajā ziņā VNV apgalvo, ka argumenti, kas izriet no konkrēto komentāru mērķa un konteksta, ir neefektīvi, jo tie nav pārbaudīti strīdīgajā lēmumā, nepieņemami, jo tie ietver jaunu apgalvojumu par faktiem, un katrā ziņā tie ir kļūdaini.

36.

Šie argumenti mani nepārliecina. Proti, gan pārbaude, ko EDAU veica strīdīgajā lēmumā, gan Vispārējās tiesas vērtējums pieder pie juridiskā konteksta, kurš ir ņemts vērā un kurā skaidri norādīts procedūrā saistībā ar tiesībām tikt uzklausītam iesniegto konkrēto komentāru mērķis un sekas. Šie argumenti par konkrēto komentāru mērķi un sekām tātad ir efektīvi un pieņemami.

37.

Turklāt no piemērojamajām tiesību normām pēc būtības izriet, ka procedūras saistībā ar tiesībām tikt uzklausītam, kurā konkrētie komentāri tika iesniegti, mērķis bija ļaut skartajiem akcionāriem un kreditoriem piedalīties procedūrā citastarp tādēļ, lai VNV varētu iegūt visu informāciju, kas nepieciešama galīgā lēmuma pieņemšanai par to, vai ir vai nav jāpiešķir kompensācija Banco Popular noregulējuma skartajiem akcionāriem un kreditoriem saskaņā ar principu, ka nevienam kreditoram nevar piemērot sliktāku attieksmi nekā likvidācijas gadījumā parastā maksātnespējas procedūrā ( 17 ). Bez tam šie komentāri, tiklīdz VNV tos ņēma vērā, varēja ietekmēt sūdzības iesniedzēju intereses un tiesības finansiālas kompensācijas ziņā.

38.

No tā secinu, ka konkrētie komentāri, tostarp to mērķa un seku dēļ, ir piesaistīti personām, uz kurām attiecas šī lieta.

39.

Papildus norādīšu – protams, ka konkrētie komentāri, kādi nodoti Deloitte, tika “filtrēti, iedalīti kategorijās un apkopoti”, tādējādi, kā izriet no Vispārējās tiesas konstatētajiem faktiem ( 18 ), ka atsevišķus komentārus nevarēja izdalīt viena temata ietvaros; tomēr var pieņemt, ka, pat apkopotā veidā, šie kolektīvie komentāri saturiski atspoguļo personiskos viedokļus par 3. vērtējumu. Proti, tie veido tādu viedokļu summu, kas paši par sevi ir informācija, kura attiecas uz tos paudušajām personām. To filtrēšana, iedalīšanas kategorijās un apkopošana nemaina šo konstatējumu, jo pretējā gadījumā, lai izvairītos no nosacījuma par informāciju, kas “attiecas” uz fizisku personu, pietiktu apkopot vairākus viedokļus. Tas, ka šajā komentāru summā nav iespējams nošķirt dažādus atsevišķus viedokļus, man šķiet, vairāk pieder pie otrā kumulatīvā nosacījuma par datu subjektu identificējamību – tas tiks pārbaudīts šī pamata otrās daļas kontekstā –, nekā pie tā, kas paredz, ka komentāram jābūt “saistītam” ar fizisku personu.

40.

Šādos apstākļos uzskatu, ka ir jāatzīst tiesību kļūda šajā ziņā Vispārējās tiesas vērtējumā, jo tā atzina, ka EDAU, lai secinātu, ka konkrētie komentāri “attiecas” uz fiziskām personām Regulas 2018/1725 3. panta 1. punkta izpratnē, neveica spriedumā Nowak prasīto pārbaudi.

41.

Ja Tiesa nolemtu noraidīt pirmo daļu un nospriestu, ka konkrētie pseidonimizētie komentāri neattiecas uz to autoriem, otrā pamata pārbaude izrādītos lieka, jo saskaņā ar Regulas 2018/1725 3. panta 1. punktu tas ir personas datu esamībai nepieciešams nosacījums, kas ir kumulatīvs ar turpmāk pārbaudīto nosacījumu par datu subjektu identificējamību.

42.

EDAU un Eiropas Datu aizsardzības kolēģija pēc būtības apgalvo, ka Vispārējā tiesa ir pieļāvusi divas kļūdas – pirmo attiecībā uz jēdzienu “pseidonimizācija” un otro uz sprieduma Breyer ( 19 ) interpretāciju, bet VNV un Komisija to apstrīd.

43.

Šis iebildums ilustrē divu ļoti atšķirīgu pieeju pastāvēšanu datu aizsardzības noteikumu piemērošanas jomā. Vai pseidonimizēti dati tajā ir automātiski jāiekļauj tikai tādēļ, ka datu subjekti joprojām ir identificējami, neatkarīgi no papildu identificējošo datu pieejamības, vai arī ir jāuzskata, ka pēc pseidonimizācijas procesa dati ir personas dati tikai attiecībā uz tām personām, kuras var pietiekami iespējami identificēt datu subjektus?

44.

EDAU un Eiropas Datu aizsardzības kolēģija būtībā apgalvo, ka pseidonimizēti dati joprojām ir personas dati tikai tādēļ vien, ka datu subjekti joprojām ir identificējami, jo joprojām pastāv informācija, kas ļauj tos identificēt. Vispārējās tiesas pieeja esot kļūdaina, jo tā ļautu pseidonimizētus datus uzskatīt par anonimizētiem datiem attiecībā uz saņēmēju, un tas radītu risku datu subjektu aizsardzībai un pseidonimizāciju varētu sajaukt ar anonimizāciju. Šāda pieeja, kas ir pretrunā Regulas 2018/1725 tekstam un mērķim, ļautu pārzinim nepamatoti izņemt personas datus no Savienības tiesību aktu šādu datu aizsardzības nozarē piemērošanas jomas.

45.

VNV un Komisija savukārt apgalvo, ka pseidonimizēti dati joprojām ir personas dati datu pārzinim, kas tos ir pseidonimizējis, bet attiecībā uz saņēmējiem ir jāpārbauda datu subjektu identificējamība. Turklāt, pat ja Regulas 2018/1725 3. panta 1. punktā nav precizēts, kam jāspēj identificēt datu subjektu, šīs regulas 16. apsvēruma gaismā un šeit aplūkotā 15. panta 1. punkta d) apakšpunkta kontekstā nozīme esot saņēmēja skatupunktam. Pēc to domām, ja šis saņēmējs nesaņem personas datus, datu subjektiem nav intereses tikt informētiem par datu nodošanu, jo viņu tiesības netiek skartas.

46.

Vispirms ir vērts atgādināt, ka pseidonimizācija ir apstrāde, ko piemēro personas datiem ar mērķi – saskaņā ar Regulas 2018/1725 17. apsvērumu – “mazināt riskus”, ko rada datu kopuma sasaiste ar datu subjekta identitāti, un “palīdzēt pārziņiem un apstrādātājiem izpildīt datu aizsardzības pienākumus”.

47.

Tādējādi Regulas 2018/1725 3. panta 6. punktā pseidonimizācija ir definēta kā “personas datu apstrāde, ko veic tādā veidā, lai personas datus vairs nav iespējams saistīt ar konkrētu datu subjektu bez papildu informācijas izmantošanas, ar noteikumu, ka šāda papildu informācija tiek turēta atsevišķi un tai piemēro tehniskus un organizatoriskus pasākumus, lai nodrošinātu, ka personas dati netiek saistīti ar identificētu vai identificējamu fizisku personu” ( 20 ).

48.

Pseidonimizācija tātad nav personas datu definīcijas elements – tie savukārt Regulas 2018/1725 3. panta 1. punktā definēti, ievērojot datu subjekta “identificējamības” jēdzienu. Turklāt, kā Komisija norādīja iestāšanās rakstā, regulā ir definēts jēdziens “pseidonimizācija”, tādējādi atsaucoties uz aizsardzības pasākuma vai tehniskā un organizatoriskā pasākuma ieviešanas procesu, bet ne jēdziens “pseidonimizēti dati”.

49.

Šāda interpretācija apstiprinās, kopīgi aplūkojot šīs pašas regulas 3. panta 6. punktu un 16. apsvērumu, kura pirmajā teikumā atgādināts, ka “datu aizsardzības principi būtu jāattiecina uz jebkādu informāciju par identificētu vai identificējamu fizisku personu”.

50.

Turklāt Regulas 2018/1725 16. apsvērums ir pelnījis detalizētāku tā analīzi ( 21 ). Proti, tajā ir otrais teikums, kas paredz, ka “personas dati, kuri ir pseidonimizēti un kurus, izmantojot papildu informāciju, varētu attiecināt uz fizisku personu, būtu jāuzskata par informāciju par identificējamu fizisku personu”. Tam seko trešais un ceturtais teikums, kuros ir precizēts šīs identificējamības prasības saturs.

51.

No šo normu formulējuma secinu, ka pseidonimizācija pieļauj iespēju, ka datu subjekti nav identificējami, citādi 16. apsvēruma formulējumam nebūtu jēgas. Papildus norādīšu, ka minētā apsvēruma pēdējie teikumi par anonimizāciju apstiprina šo interpretāciju: tie no Regulas 2018/1725 piemērošanas jomas izslēdz anonimizētus datus (vai datus, ko sniedz anonīmi) ( 22 ), bet pseidonimizētus datus no tās izslēdz tikai, ciktāl datu subjekti nav identificējami. Ja minētos datu subjektus identificēt nav iespējams, tie tātad tiek juridiski uzskatīti par pietiekami aizsargātiem ar pseidonimizācijas procesu, lai gan papildu identifikācijas dati nav pilnībā dzēsti.

52.

Citiem vārdiem – nav runas par to, ka pseidonimizēti dati tiktu automātiski izslēgti no šīs regulas piemērošanas jomas ( 23 ). Tomēr, ņemot vērā tās 16. apsvērumu, nevar izslēgt, ka tādi dati noteiktos apstākļos varētu neietilpt jēdzienā “personas dati”.

53.

Pretēji EDAU apgalvotajam, šāda pieeja, manuprāt, nav pretrunā mērķim garantēt personas datu aizsardzības augstu līmeni, it īpaši, ņemot vērā piemērojamajās normās noteiktās identificējamības prasības, no vienas puses, un to interpretāciju judikatūrā, no otras puses.

54.

Pirmām kārtām, Regulas 2018/1725 16. apsvērumā ir atsauce uz pārziņa “vai kādas citas personas” iespēju identificēt: šī paplašinātā koncepcija, lai gan tā nav neierobežota ( 24 ), iekļaujas personas datus aizsargājošā pieejā.

55.

Tāpat arī 16. apsvērumā ir paredzēts, ka jāņem vērā līdzekļi, ko pietiekami iespējami varētu izmantot, lai tieši vai netieši identificētu fizisku personu, ievērojot visus objektīvos faktorus, piemēram, identificēšanai nepieciešamās izmaksas un laiku, ņemot vērā apstrādes laikā pieejamo tehnoloģiju un tehnoloģiju attīstību, un tas veido plašu un aizsargājošu personas datu definīciju.

56.

Otrām kārtām, judikatūrā šī jēdziena “identificējamība”, kas ir koncentrēts uz datu subjektu atkārtotas identificēšanas risku, interpretācija arī pieļauj plašu jēdziena “personas dati” piemērošanu. Tādējādi Tiesa par “personas datiem” ir sistemātiski atzinusi datus, kas, lai gan nošķirti no identifikācijas datiem, kuri ir kādas citas personas rīcībā, konkrētajos apstākļos varētu radīt datu subjektu atkārtotas identifikācijas risku ( 25 ).

57.

Tādējādi tikai tad, ja identifikācijas risks nepastāv vai ir nenozīmīgs ( 26 ), datus juridiski var nekvalificēt kā “personas datus”.

58.

Mani nepārliecina EDAU un Eiropas Datu aizsardzības kolēģijas argumenti par apdraudējumiem, ko rada pārāk šaura personas datu interpretācija. Proti, tas, ka no Regulas 2018/1725 izrietošie noteikumi nav piemērojami datiem, kas attiecas uz neidentificējamām personām, vajadzības gadījumā neliegtu saukt pie juridiskās atbildības subjektus, kuri būtu veikuši sodāmas darbības, piemēram, ja datu izpaušana radītu kaitējumu. Turpretī, man šķiet, ir nesamērīgi uzlikt subjektam, kurš nevarētu saprātīgi identificēt datu subjektus, pienākumus, kas izriet no Regulas 2018/1725 ( 27 ) – pienākumus, kurus šis subjekts hipotētiski nevarētu izpildīt vai kuri tam tieši prasītu mēģināt identificēt datu subjektus.

59.

Ņemot vērā šos apsvērumus, ja strīdu analizē attiecībā uz datiem, kādi tika nodoti Deloitte, uzskatu, ka pretēji tam, ko apgalvo EDAU, bija jānosaka, vai konkrēto datu pseidonimizācijas apstrāde bija pietiekami stingra, lai secinātu, ka sūdzības iesniedzēji – Deloitte nodotās informācijas autori – saprātīgi nebija identificējami. Citiem vārdiem – šādā situācijā, ja Deloitte rīcībā būtu saprātīgi līdzekļi minēto sūdzības iesniedzēju identificēšanai, varētu uzskatīt, ka tā apstrādā personas datus.

60.

Tātad EDAU izvirzītais pirmais iebildums, manuprāt, būtu jānoraida.

61.

EDAU, ko atbalsta Eiropas Datu aizsardzības kolēģija, uzskata, ka konkrētie pseidonimizētie dati attiecībā uz VNV ir personas dati un ka tādējādi VNV bija pienākums pret datu subjektiem sniegt tiem informāciju par saņēmēju. Tas būtībā apgalvo, ka Vispārējā tiesa ir nepareizi interpretējusi spriedumu Breyer, kurā tika apskatīta cita faktiskā situācija.

62.

VNV, ko atbalsta Komisija, turpretī uzskata, ka salīdzinājums ar spriedumu Breyer lietā ir atbilstošs un ir ļāvis nospriest, ka informēšanas pienākums ir piemērojams tikai tad, ja nodotie dati ir personas dati no saņēmēja – šajā gadījumā Deloitte – skatupunkta, un tas, kā Vispārējā tiesa ir pamatoti nospriedusi, šajā lietā neesot pierādīts.

63.

Uzskatu, ka Regulas 2018/1725 15. panta 1. punkta d) apakšpunktā paredzētais informēšanas pienākums un paralēles ar spriedumu Breyer šajā lietā noved pie risinājuma, kas atšķiras no Vispārējās tiesas risinājuma – to izklāstīšu šī iebilduma analīzē.

64.

Regulas 2018/1725 4. panta 1. punkta a) apakšpunktā ir noteikta prasība personas datus apstrādāt likumīgi, godprātīgi un datu subjektam pārredzamā veidā.

65.

It īpaši šīs regulas 15. panta 1. punkta d) apakšpunktā ir paredzēts, ka tad, ja datu subjekta personas datus vāc no datu subjekta, pārzinis “personas datu iegūšanas laikā” datu subjektus informē par iespējamiem minēto datu saņēmējiem. Tādējādi ir redzams, ka personas datu pārzinim šī informācija jāsniedz nekavējoties, t.i., datu ievākšanas brīdī ( 28 ).

66.

Šī pienākuma izpildes svarīgums ir apliecināts arī Regulas 2018/1725 35. apsvērumā, kurā noteikts, ka godprātīgas un pārredzamas apstrādes principi prasa, lai datu subjekts tiktu informēts par apstrādes darbības esamību un tās nolūkiem, uzsverot, ka pārzinim būtu jāsniedz jebkāda papildu informācija, kas vajadzīga, lai nodrošinātu godprātīgu un pārredzamu apstrādi, ņemot vērā konkrētos apstākļus un kontekstu, kādā personas dati tiek apstrādāti ( 29 ).

67.

Šāds informēšanas pienākums ir vēl jo svarīgāks, jo datu subjekta sniegtās piekrišanas spēkā esamība citastarp ir atkarīga no tā, vai šī persona iepriekš ir ieguvusi informāciju – ņemot vērā visus ar attiecīgo datu apstrādi saistītos apstākļus –, uz kuru tai bija tiesības saskaņā ar Regulas 2018/1725 14. un 15. pantu un kura tai ļauj dot piekrišanu, pilnībā apzinoties situāciju ( 30 ).

68.

Papildus norādīšu, ka vienīgais izņēmums no šī informēšanas pienākuma, kas paredzēts Regulas 2018/1725 15. panta 4. punktā, attiecas uz situāciju, kad datu subjektam attiecīgā informācija jau ir pieejama.

69.

No tā secinu, ka šajā lietā informēšanas pienākums pieder pie tiesiskajām attiecībām, kas pastāv starp datu subjektiem, šajā gadījumā sūdzības iesniedzējiem, no vienas puses, un VNV kā datu pārzini, no otras puses, un nevis pie attiecībām starp VNV un saņēmēju, proti, Deloitte. Informēšanas pienākums tātad attiecas uz datiem, kuri bija VNV rīcībā pirms to nodošanas Deloitte. Netiek apstrīdēts, ka tie ir personas dati, jo VNV rīcībā ir komentāri un tos sniegušo personu identifikācijas bāze.

70.

Šāda “attiecīgā skatpunkta” pieeja ( 31 ) tātad mani noved pie risinājuma, kas atšķiras no Vispārējās tiesas risinājuma, pat salīdzinot ar spriedumu Breyer.

71.

Atgādināšu, ka tiesvedībā, kurā tika uzdots prejudiciālais jautājums minētajā spriedumā, Breyer kungs vēlējās, lai pārzinim (Vācijas Federatīvajai Republikai) tiktu aizliegts saglabāt viņa dinamisko IP adresi. Papildu informācija, kas ļāva viņu identificēt, izmantojot ar viņa datoru saistīto IP adresi, bija nevis pārziņa, bet gan interneta pakalpojumu sniedzēja rīcībā. Jautājums tātad bija par to, vai pārziņa rīcībā esošo dinamisko IP adresi var klasificēt kā “personas datus” un tādējādi Breyer kunga un minētā pārziņa sasvstarpējās tiesiskajās attiecībās var radīt šim pārzinim saglabāšanas pienākumus, lai gan Breyer kunga identifikācijas dati bija citas personas, nevis pārziņa rīcībā. Būtībā tika nospriests, ka pārzinis, lai gan tā rīcībā nebija papildu identificējošas informācijas, varēja tai saprātīgi piekļūt, un dinamiskā IP adrese tātad tika klasificēta kā “personas dati”.

72.

Šajā lietā, kā atgādināts iepriekš ( 32 ), informēšanas pienākums ir daļa no attiecībām starp datu subjektiem (sūdzības iesniedzējiem) un pārzini (VNV): kad VNV savāc konkrētos datus un – it īpaši saistībā ar saņēmēju –, vēlākais, tad, kad šis saņēmējs ir zināms, rodas pienākums sniegt informāciju. Kad šis brīdis noskaidrojas, konkrētie dati ir personas dati, kas ir VNV rīcībā, kurai ir papildu identifikācijas dati. Ņemot vērā attiecīgo informēšanas pienākumu un tā noskaidrošanās brīdi, konkrētie dati tādējādi bija personas dati, neatkarīgi no tā, vai Deloitte tos spēja identificēt, jo uz to neattiecas ne sūdzību iesniedzēju un VNV savstarpējās juridiskās attiecības, kurām vienīgajām ir nozīme, ne arī informēšanas pienākums, kas attiecas uz VNV.

73.

Tieši šajā ziņā, manuprāt, šajā lietā ir jāskata paralēles ar spriedumu Breyer.

74.

No tā izriet, ka informēšanas pienākums bija VNV kā pārzinim un ņemot vērā tās attiecības ar sūdzības iesniedzējiem, no kuriem tā vāca konkrētos datus, un tas tā bija neatkarīgi no tā, vai Deloitte nodotie dati bija vai nebija personas dati.

75.

VNV arguments, kas tika atkārtots tiesas sēdē, ka saņēmēja skatpunktam ir nozīme, jo jāpārbauda, vai tas ir vai nav “personas datu saņēmējs”, atbilstoši šādai loģikai ir jānoraida.

76.

Šajā ziņā taisnība, ka Regulas 2018/1725 15. panta 1. punkta d) apakšpunkta teksts, kurā ir atsauce uz “personas datu saņēmējiem”, var būt mulsinošs. Tomēr šīs normas lietderīgā iedarbība paredz, ka informācija datu subjektiem jāsniedz tiklīdz iespējams un pirms minētās datu nodošanas ( 33 ). Šajā lietā – pat ja VNV sākotnējās komentāru vākšanas laikā nebija nodoma iegūt Deloitte atzinumu, lai zinātu, vai šie komentāri maina 3. vērtējumu, – no Vispārējā tiesā apstrīdētā lēmuma izriet, ka Deloitte palīdzēja VNV tiesību tikt uzklausītam procedūrā ( 34 ). Turklāt var uzskatīt, ka VNV nodoms nodot pseidonimizētos datus Deloitte pastāvēja, vēlākais, brīdī, kad tika nolemts apstrādāt konkrētos komentārus tieši pseidonimizācijas nolūkā ( 35 ), bez kā pseidonimizācijai nebūtu nekāda pamatojuma.

77.

Tādējādi uzskatu, ka pienākuma sniegt informāciju izpildes pārbaude brīdī, kad VNV nodeva datus Deloitte, izmantojot tā saņēmēja skatpunktu, lai kvalificētu vai nekvalificētu konkrētos datus kā personas datus, noved pie minētās pārbaudes nobīdes laikā. Tātad šī pārbaude tiktu nepareizi atlikta, jo tā tiktu veikta par datiem, kas jau ir nodoti saņēmējam, lai gan informācijas sniegšanas pienākuma mērķis attiecas uz VNV un sūdzības iesniedzēju attiecībām un ir paredzēts, lai ļautu pēdējiem minētajiem sniegt savu informētu piekrišanu pirms datu nodošanas.

78.

Turklāt, runājot par sūdzības iesniedzēju piekrišanu, viņu dalību tiesību tikt uzklausītam procedūrā noteikti var interpretēt kā netiešu piekrišanu personas datu nodošanai pārzinim, lai tiktu ņemti vērā viņu komentāri. Tomēr, manuprāt, ar to nav pietiekami, lai uzskatītu to par informētu piekrišanu datu pseidonimizācijai un to nodošanai Deloitte bez iepriekšējas informācijas par to no VNV ( 36 ).

79.

Manuprāt, no tā izriet, ka VNV pienākums sniegt informāciju šajā lietā bija piemērojams pirms konkrēto datu nodošanas un neatkarīgi no tā, vai Deloitte rīcībā tie bija vai nebija personas dati.

80.

Līdz ar to tas, vai pseidonimizācija ir vai nav pietiekami stabila un efektīva, lai varētu uzskatīt, ka Deloitte rīcībā esošie dati ir vai nav personas dati, man šķiet, galu galā nav būtiski no VNV pienākuma sniegt informāciju viedokļa.

81.

Tāpēc šajā lietā bija jāievēro VNV kā pārzinim uzliktais informēšanas pienākums un šī iemesla dēļ pārsūdzētais spriedums ir atceļams tiesību kļūdas dēļ.

82.

Tā kā konkrēto datu saņēmēja skatpunktam nav nozīmes, ņemot vērā Regulas 2018/1725 15. panta 1. punkta d) apakšpunktā paredzēto informācijas sniegšanas pienākumu, lietas dalībnieku argumenti par iespēju Deloitte ar likumīgiem un praktiski pielietojamiem līdzekļiem identificēt datu subjektus izrādās nelietderīgi un tādēļ nav vajadzības tos pārbaudīt.

83.

Ja Tiesa tam nepiekristu, pakāroti norādīšu, ka EDAU šajā ziņā apstrīd Vispārējās tiesas konstatējumu par to, ka Deloitte nebija piekļuve identifikācijas datiem. Tas jo īpaši pamatojas uz apakšuzņēmuma līgumattiecībām, kādas esot bijušas starp VNV un Deloitte. VNV un Komisija apgalvo, ka, šādi rīkojoties, EDAU izvirza jaunus apgalvojumus par faktiem, kas apelācijas stadijā nav pieņemami. Es tam piekrītu. Proti, VNV un Deloitte savstarpējo līgumattiecību pastāvēšana, kas pierādītu, ka Deloitte bija iespēja lūgt VNV identificēt sūdzības iesniedzējus, ir jauna argumentācija, par kuru Vispārējā tiesa turklāt nav nekādi lēmusi. No tā izriet, ka šī argumentācija attiecīgajā gadījumā būtu jānoraida kā nepieņemama atbilstoši Tiesas Reglamenta 170. panta 1. punkta otrajam teikumam, saskaņā ar kuru apelācijas sūdzībā nedrīkst grozīt Vispārējā tiesā izskatītā strīda priekšmetu ( 37 ).

84.

Ar otro pamatu, kas ir balstīts uz Regulas 2018/1725 4. panta 2. punktā un 26. panta 1. punktā noteiktā pārskatatbildības principa pārkāpumu, EDAU, kuru atbalsta Eiropas Datu aizsardzības kolēģija, apgalvo, ka Vispārējā tiesa kļūdaini nosprieda, ka tam bija pienākums pierādīt, ka Deloitte nodotā informācija ir personas dati, tādējādi pārkāpjot principu, saskaņā ar kuru atbildība ir VNV.

85.

Ņemot vērā iepriekš minēto un it īpaši šo secinājumu 81. un 82. punktu, uzskatu, ka šis otrais pamats nav jāpārbauda.

86.

Tādējādi to minēšu tikai īsi – pakārtoti.

87.

Par šī Vispārējā tiesā neizvirzītā pamata pieņemamību, ko VNV apstrīd, atgādināšu, ka apelācijas sūdzības iesniedzējs ir tiesīgs iesniegt apelācijas sūdzību, izvirzot pamatus, kuri ir radušies no pārsūdzētā sprieduma paša un kuru mērķis ir kritizēt tā pamatotību no tiesību viedokļa ( 38 ). Tāds, manuprāt, ir šis pamats, kas tātad ir pieņemams.

88.

Attiecībā uz lietas būtību jāatgādina, ka Vispārējā tiesa nosprieda, ka, tā kā EDAU nebija izpētījis, vai Deloitte bija likumīgi un praktiski pielietojami līdzekļi, kas ļauj piekļūt papildu informācijai, kura nepieciešama sūdzības iesniedzēju atkārtotai identificēšanai, EDAU nevarēja secināt, ka Deloitte nodotā informācija ir informācija, kas saistīta ar “identificējamu fizisku personu” Regulas 2018/1725 3. panta 1. punkta izpratnē.

89.

EDAU, ko atbalsta Eiropas Datu aizsardzības kolēģija, būtībā apgalvo, ka Vispārējai tiesai esot bijis jāpārbauda, vai VNV – pārzinis – bija pierādījusi, ka ir anonimizējusi strīdīgos datus attiecībā pret Deloitte.

90.

VNV apstrīd šo argumentāciju, apgalvojot, ka pārskatatbildības princips ir piemērojams tikai attiecībā uz personas datiem un ka šajā gadījumā Deloitte rīcībā esošie dati bija anonimizēti.

91.

Komisija savukārt apgalvo, ka, pirmkārt, EDAU jāuzņemas saprātīgs pierādīšanas pienākums, lai, pamatojoties uz pieejamajiem pierādījumiem, pierādītu personas datu esamību. Otrkārt, attiecīgajam pārzinim esot bijis pienākums atspēkot šo secinājumu, sniedzot papildu pierādījumus.

92.

Atgādināšu, ka saskaņā ar Regulas 2018/1725 4. panta 1. punkta a) apakšpunktu personas dati attiecībā uz datu subjektu jāapstrādā likumīgi, godprātīgi un pārredzami. Minētās regulas 4. panta 2. punktā ir paredzēts, ka “pārzinis ir atbildīgs par atbilstību 1. punktam un var to uzskatāmi parādīt”. Tādējādi no pārskatatbildības principa, kas noteikts minētās regulas 4. panta 2. punktā un precizēts 26. panta 1. punktā, izriet, ka pārzinim ir jāspēj pierādīt, ka tas ievēro 4. panta 1. punktā noteiktos principus attiecībā uz personas datu apstrādi ( 39 ).

93.

Līdz ar to, ja pārzinis par to iesniegtu pietiekamus pierādījumus, varētu uzskatīt, ka tas ir izpildījis savu pierādīšanas pienākumu ( 40 ).

94.

Šajā lietā, manuprāt, VNV norādīja uz vairākiem faktiem (it īpaši uz strīdīgajā lēmumā un pārsūdzētajā spriedumā aprakstītajiem komentāru filtrēšanas, iedalīšanas kategorijās un apkopošanas procesiem), lai saskaņā ar tai uzlikto pārskatatbildības principu pierādītu, ka Deloitte nebija iespējams identificēt datu subjektus.

95.

Vispārējā tiesā EDAU šajā ziņā ieņēma principiālu nostāju, raugoties no VNV, nevis no Deloitte skatpunkta un tādējādi kvalificējot Deloitte nodotos komentārus kā “personas datus”.

96.

Ja šā pamata pakārtotas izskatīšanas nolūkā pieņem, ka Deloitte skatpunktam bija nozīme šajā lietā ( 41 ), varētu uzskatīt, ka EDAU bija jāpierāda ( 42 ), kā Vispārējā tiesa to nosprieda, kāpēc juridisku vai tehnisku iemeslu dēļ VNV īstenotais pseidonimizācijas process šajā lietā nebija pietiekams, un bija jāatzīst, ka Deloitte apstrādāja personas datus.

97.

Tātad uzskatu, ka attiecīgajā gadījumā pārsūdzētais spriedums attiecībā uz otro pamatu jāatstāj spēkā.

98.

Saskaņā ar Eiropas Savienības Tiesas statūtu 61. panta pirmo daļu, ja apelācija ir pamatota, Tiesa atceļ Vispārējās tiesas lēmumu. Tā var pati pieņemt galīgo spriedumu attiecīgā lietā, ja to ļauj tiesvedības stadija, vai nodot lietu atpakaļ sprieduma pieņemšanai Vispārējā tiesā.

99.

Pirmais pamats, ko VNV izvirzīja par Vispārējā tiesā strīdīgo lēmumu, ir balstīts uz Regulas 2018/1725 3. panta 1. punkta pārkāpumu. No šo secinājumu 63.–82. punkta izriet, ka, tā kā VNV nav izpildījusi pienākumu sniegt informāciju, kas tai noteikts ar Regulas 2018/1725 15. panta 1. punkta d) apakšpunktu, strīdīgais lēmums, manuprāt, būtu jāatstāj spēkā.

100.

Turpretī otrais pamats, kas balstīts uz to, ka EDAU ir pārkāpis tiesības uz labu pārvaldību saistībā ar procedūru, kurā pieņemts strīdīgais lēmums, man šķiet, nav jāizskata.

101.

Proti, VNV it īpaši apgalvo, ka administratīvajā procesā pirms strīdīgā lēmuma pieņemšanas EDAU ir pārkāpis tās tiesības piekļūt lietas materiāliem, tiesības tikt uzklausītam un pušu vienlīdzības principu, liedzot tai piekļuvi lietas materiāliem, no vienas puses, un nepaziņojot tai par sūdzības iesniedzēju apsvērumiem vai to saturu, no otras puses.

102.

Tomēr Vispārējā tiesa uzskatīja, ka, tā kā pirmais pamats ir apmierināts, otrais tajā izvirzītais pamats nebija jāizskata. Līdz ar to šis pamats, kas it īpaši attiecas uz faktisko apstākļu novērtējumu, nav jāizskata. Tādējādi man šķiet, ka lieta būtu jānodod atpakaļ Vispārējai tiesai, lai tā varētu šajā ziņā lemt, un lēmuma par tiesāšanās izdevumiem pieņemšana būtu jāatliek.

103.

Ņemot vērā iepriekš minēto, ierosinu Tiesai lemt šādi: