1.

Met zijn hogere voorziening vordert de Europese Toezichthouder voor gegevensbescherming (EDPS) vernietiging van het arrest van het Gerecht van de Europese Unie van 26 april 2023, GAR/EDPS (T‑557/20, EU:T:2023:219; hierna: „bestreden arrest”), waarbij deze laatste het herziene besluit van de EDPS van 24 november 2020 (hierna: „litigieus besluit”) betreffende vijf klachten die waren ingediend door aandeelhouders en crediteuren die waren getroffen door de bankafwikkeling van Banco Popular Español SA (hierna: „Banco Popular”) en waarin zij zich erover beklaagden dat zij niet waren geïnformeerd over de doorgifte van hun persoonsgegevens, nietig heeft verklaard.

2.

Deze zaak stelt het Hof in de gelegenheid om in de context van gepseudonimiseerde gegevens het begrip „persoonsgegevens” en de daaruit voortvloeiende verplichtingen te verduidelijken met het oog op de naleving van de verplichtingen inzake behoorlijke en transparante verwerking van gegevens.

3.

De belangrijkste bepalingen van verordening (EU) 2018/1725 ( 2 ) die relevant zijn voor de onderhavige hogere voorziening zijn de volgende.

4.

De overwegingen 16 en 17 van deze verordening luiden als volgt:

5.

Artikel 3 van die verordening („Definities”) bepaalt in de punten 1 en 6:

„Voor de toepassing van deze verordening gelden de volgende definities:

[…]

6.

Artikel 4 van die verordening („Beginselen inzake verwerking van persoonsgegevens”) bepaalt in lid 1, onder a), en lid 2:

„1.   Persoonsgegevens:

[…]

2.   De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).”

7.

Artikel 15 van verordening 2018/1725 („Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld”) luidt in lid 1, onder d):

„Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie:

[…]

8.

Op 7 juni 2017 heeft de Gemeenschappelijke Afwikkelingsraad (GAR) een afwikkelingsregeling voor Banco Popular vastgesteld op de grondslag van verordening (EU) nr. 806/2014 van het Europees Parlement en de Raad van 15 juli 2014 tot vaststelling van eenvormige regels en een eenvormige procedure voor de afwikkeling van kredietinstellingen en bepaalde beleggingsondernemingen in het kader van een gemeenschappelijk afwikkelingsmechanisme en een gemeenschappelijk afwikkelingsfonds en tot wijziging van verordening (EU) nr. 1093/2010 ( 3 ), welke diezelfde dag bij besluit door de Europese Commissie is goedgekeurd ( 4 ), wat concreet betekent dat de kapitaalinstrumenten van de bank zijn afgewaardeerd of omgezet en overgedragen door overdracht van de aandelen.

9.

Overeenkomstig artikel 20, leden 16 tot en met 18, van verordening nr. 806/2014 heeft de GAR aan Deloitte, als „onafhankelijke persoon” ( 5 ), de taak toevertrouwd om een waardering te verrichten van het verschil in behandeling om vast te stellen of de aandeelhouders en crediteuren beter zouden zijn behandeld indien er een normale insolventieprocedure ten aanzien van Banco Popular was geopend.

10.

Op 14 juni 2018 heeft Deloitte deze waardering van het verschil in behandeling (hierna: „waardering 3”) aan de GAR doorgezonden. In een voorlopig besluit heeft de GAR aangegeven dat hij, om een definitief besluit te kunnen nemen over het al dan niet uit hoofde van artikel 76, lid 1, onder e), van verordening nr. 806/2014 moeten betalen van compensatie aan de door de afwikkeling van Banco Popular getroffen aandeelhouders en crediteuren, de procedure met betrekking tot het recht om te worden gehoord inleidde, met inbegrip van een eerste inschrijvingsfase om te verifiëren of elke partij die haar belangstelling kenbaar had gemaakt, daadwerkelijk in aanmerking kwam en een tweede raadplegingsfase, in het kader waarvan de getroffen aandeelhouders en crediteuren van wie de GAR de status had geverifieerd, hun opmerkingen indienden over het voorlopige besluit van de GAR en de hierbij gevoegde waardering 3.

11.

De tijdens de inschrijvingsfase verzamelde gegevens, te weten het bewijs van de identiteit van de deelnemers en van de eigendom van kapitaalinstrumenten van Banco Popular die zijn afgewaardeerd of omgezet en overgedragen, waren voor een beperkt aantal met de verwerking van die gegevens belaste personeelsleden van de GAR toegankelijk om te bepalen of de deelnemers in aanmerking kwamen. Deze gegevens waren niet zichtbaar voor de personeelsleden van de GAR die belast waren met de behandeling van de opmerkingen die waren ontvangen in de raadplegingsfase. In die fase hebben zij enkel opmerkingen ontvangen die werden geïdentificeerd aan de hand van een alfanumerieke code ( 6 ) die werd toegekend aan elke opmerking die met behulp van het formulier werd ingediend.

12.

Na het aggregeren, automatisch filteren en categoriseren van de opmerkingen, zond de GAR de als zodanig gefilterde, gecategoriseerde en geaggregeerde opmerkingen met betrekking tot waardering 3 door naar Deloitte ( 7 ). De opmerkingen die aan Deloitte werden overgedragen, hadden alleen betrekking op de opmerkingen die tijdens de raadplegingsfase waren ontvangen en waren voorzien van een alfanumerieke code die was ontwikkeld voor auditdoeleinden om de GAR in staat te stellen te controleren en eventueel achteraf aan te tonen dat elke opmerking was verwerkt en naar behoren in aanmerking was genomen. Door middel van deze code was de GAR de enige die de opmerkingen kon koppelen aan de gegevens die tijdens de inschrijvingsfase waren ontvangen. Deloitte had en heeft nog steeds geen toegang tot de databank met gegevens die tijdens de inschrijvingsfase werden verzameld.

13.

Getroffen aandeelhouders en crediteuren (hierna: „klagers”) hebben krachtens verordening 2018/1725 vijf klachten aan de EDPS doen toekomen op grond dat de door de GAR gepubliceerde privacyverklaring betreffende de verwerking van persoonsgegevens geen melding maakte van de doorzending aan Deloitte van de door middel van het formulier verzamelde gegevens. Zij hebben aangevoerd dat de GAR zijn verplichting op grond van artikel 15, lid 1, onder d), van deze verordening om informatie te verstrekken over de verwerking van persoonsgegevens had geschonden.

14.

De EDPS heeft op 24 juni 2020 het oorspronkelijke besluit vastgesteld dat na een verzoek om herziening door de GAR nietig is verklaard en op 24 november 2020 is vervangen door het litigieuze besluit, dat als volgt luidt:

15.

Bij verzoekschrift, neergelegd ter griffie van het Gerecht op 1 september 2020, en bij memorie van aanpassing, neergelegd op 29 januari 2021, heeft de GAR beroep ingesteld strekkende tot, om te beginnen, nietigverklaring van het litigieuze besluit en, voorts, onrechtmatigverklaring van het oorspronkelijke besluit van de EDPS van 24 juni 2020.

16.

De GAR heeft twee middelen aangevoerd ter ondersteuning van de eerste vordering. ( 8 ) Het eerste middel was ontleend aan schending van artikel 3, punt 1, van verordening 2018/1725, aangezien de aan Deloitte doorgezonden gegevens geen persoonsgegevens vormden, en het tweede middel was ontleend aan schending van het in artikel 41 van het Handvest van de grondrechten van de Europese Unie neergelegde recht op behoorlijk bestuur.

17.

In het bestreden arrest heeft het Gerecht deze vordering ontvankelijk verklaard. Wat de grond van de zaak betreft, heeft het Gerecht het eerste middel van het beroep toegewezen en het litigieuze besluit nietig verklaard, zonder het tweede middel te onderzoeken.

18.

Aangaande het eerste middel heeft het Gerecht ten eerste vastgesteld dat de EDPS had geoordeeld dat de informatie die aan Deloitte was doorgezonden, informatie „betreffende” een natuurlijke persoon in de zin van artikel 3, punt 1, van verordening 2018/1725 was op basis van een vermoeden zonder de inhoud, het doel of het gevolg van de aan Deloitte ( 9 ) doorgezonden informatie te onderzoeken, wat in strijd is met het arrest Nowak. ( 10 )

19.

Ten tweede, wat betreft de voorwaarde van artikel 3, punt 1, van verordening 2018/1725 dat de informatie betrekking heeft op een „geïdentificeerde of identificeerbare” natuurlijke persoon, is het Gerecht tot het oordeel gekomen dat het hier aan de EDPS was om te onderzoeken of de aan Deloitte doorgezonden opmerkingen voor haar persoonsgegevens vormden. Uit het bestreden arrest blijkt dat de EDPS de mogelijkheid om de auteurs van de opmerkingen opnieuw te identificeren enkel heeft onderzocht vanuit het oogpunt van de GAR en niet vanuit het oogpunt van Deloitte. Aangezien de EDPS niet heeft onderzocht of Deloitte over wettelijke en in de praktijk uitvoerbare middelen beschikte om toegang te krijgen tot de aanvullende gegevens die nodig waren voor de heridentificatie van de auteurs van de opmerkingen, kon de EDPS dus niet tot de slotsom komen dat de informatie die aan Deloitte was doorgezonden, informatie vormde die betrekking had op een „identificeerbare natuurlijke persoon” in de zin van artikel 3, punt 1, van verordening 2018/1725. ( 11 )

20.

Bij akte, neergelegd ter griffie van het Hof op 5 juli 2023, heeft de EDPS hogere voorziening ingesteld tegen het bestreden arrest. Bij beschikking van de president van het Hof van 29 november 2023 ( 12 ) werd het Europees Comité voor gegevensbescherming toegelaten tot interventie aan de zijde van de EDPS en bij beschikking van 20 oktober 2023 werd de Europese Commissie toegelaten tot interventie ter ondersteuning aan de zijde van de GAR.

21.

De EDPS verzoekt het Hof:

22.

Het Europees Comité voor gegevensbescherming, dat de zienswijze van de EDPS ondersteunt, verzoekt het Hof:

23.

De GAR verzoekt het Hof:

24.

De Europese Commissie, dat de zienswijze van de GAR ondersteunt, verzoekt het Hof:

25.

Ter ondersteuning van zijn hogere voorziening voert de EDPS, daarin gesteund door het Europees Comité voor gegevensbescherming, twee middelen aan. Het eerste middel richt zich tegen de uitlegging door het Gerecht van het begrip „persoonsgegevens” in de zin van artikel 3, punten 1 en 6, van verordening 2018/1725, zoals uitgelegd in de rechtspraak van het Hof. Het tweede middel is ontleend aan schending van het in artikel 4, lid 2, en artikel 26, lid 1, van die verordening neergelegde verantwoordingsbeginsel.

26.

Het eerste middel bestaat uit twee onderdelen. Het eerste onderdeel heeft betrekking op de voorwaarde dat de litigieuze informatie een natuurlijke persoon „betreft” en het tweede onderdeel heeft betrekking op de voorwaarde dat het gaat om een „geïdentificeerde of identificeerbare” persoon.

27.

De EDPS, daarin gesteund door het Europees Comité voor gegevensbescherming, betoogt dat het Gerecht ten onrechte heeft geoordeeld dat de EDPS zich heeft gebaseerd op een vermoeden betreffende de uitlegging van de voorwaarde dat de aan Deloitte doorgezonden informatie betrekking had op een natuurlijke persoon, in de zin van artikel 3, punt 1, van verordening 2018/1725. Volgens hem hoefde hij in de omstandigheden van het geval geen nader onderzoek te verrichten.

28.

De GAR stelt op zijn beurt dat, zoals het Gerecht heeft geoordeeld, de EDPS zich ertoe heeft beperkt aan te geven dat de litigieuze opmerkingen die de klagers tijdens de raadplegingsfase van de procedure met betrekking tot het recht om te worden gehoord hebben gemaakt, hun meningen of standpunten weergaven, terwijl hij had moeten nagaan of de aan Deloitte doorgezonden informatie door haar inhoud, doel of gevolg met een bepaalde persoon in verband kon worden gebracht, zoals het arrest Nowak vereist.

29.

In herinnering zij gebracht dat het Hof herhaaldelijk heeft geoordeeld dat het gebruik van de uitdrukking „alle informatie” in de definitie van het begrip „persoonsgegevens” de bedoeling van de Uniewetgever weerspiegelt om een ruime betekenis te geven aan dit begrip dat zich potentieel uitstrekt tot elke soort informatie ( 13 ), zowel objectieve informatie als subjectieve informatie onder de vorm van meningen of beoordelingen, op voorwaarde dat deze informatie de betrokkene „betreft”.

30.

In dit verband betreft informatie een geïdentificeerde of identificeerbare natuurlijke persoon wanneer die informatie wegens haar inhoud, doel of gevolg „gelieerd” is aan een bepaalde persoon. ( 14 )

31.

Wat betreft de meningen of beoordelingen, zoals de opmerkingen van de klagers in deze zaak, lijkt het mij dat een onderscheid moet worden gemaakt naargelang wordt onderzocht of deze meningen of beoordelingen „betrekking hebben” op een of meer personen waarnaar in de tekst van de mening of de beoordeling wordt verwezen, of dat, zoals in het onderhavige geval, moet worden nagegaan of zij betrekking hebben op de auteur ervan. In het eerste geval moet worden nagegaan of de inhoud, het doel of de gevolgen van de beoordeling betrekking hebben op de persoon op wie de beoordeling betrekking heeft, om te kunnen concluderen dat er sprake is van informatie over deze persoon. In het tweede geval daarentegen lijkt het mij dat, om te bepalen of de beoordeling betrekking heeft op de persoon die deze heeft gegeven, kan worden aangenomen dat dit het geval is en dat een mening of beoordeling noodzakelijkerwijs verband houdt met de auteur ervan.

32.

Zo ging het in het arrest Nowak in wezen om het beoordelen van de informatie in een examenwerk. Hierbij waren twee personen betrokken: de kandidaat en de examinator. Het is juist dat het Hof de inhoud, het doel en de gevolgen van de antwoorden van de kandidaat heeft onderzocht en daaruit heeft afgeleid dat deze hem betroffen. Wat evenwel meer in het bijzonder de opmerkingen van de examinator betreft, die zijn mening of beoordeling weergeven ( 15 ), heeft het Hof weliswaar de inhoud, het doel en de gevolgen van de in het examenwerk vervatte informatie onderzocht om tot de slotsom te komen dat deze beoordelingen de kandidaat betroffen, maar het heeft een dergelijk onderzoek niet verricht voor zijn vaststelling dat deze beoordelingen informatie vormden die betrekking had op de examinator die de auteur ervan was. ( 16 ) Naar mijn mening kan dus niet volledig worden uitgesloten dat een (louter) vermoeden van toepassing kan zijn bij de beoordeling of een mening of beoordeling dan wel, zoals in dit geval, een commentaar, de auteur ervan „betreft”.

33.

Ik concludeer daaruit dat, bij gebrek aan bewijs van het tegendeel, de opmerkingen waar het in deze zaak om gaat, voor zover zij afkomstig waren van de klagers en blijk gaven van „hun logica en redenering”, en aldus de uitdrukking van hun „subjectieve mening” weerspiegelden, noodzakelijkerwijs de klagers „betroffen”, ongeacht het doel of het gevolg van hun opmerkingen.

34.

Hoe dan ook, zelfs indien een dergelijk vermoeden in deze zaak ontbreekt, ben ik van mening dat de betrokken opmerkingen vanwege hun inhoud, doel en gevolgen „betrekking hebben” op de klagers.

35.

Dienaangaande betoogt de GAR dat de argumenten inzake doel en context van de betrokken opmerkingen geen hout snijden omdat zij in het litigieuze besluit niet zijn onderzocht, niet‑ontvankelijk zijn omdat zij een nieuwe feitelijke bewering bevatten, en in ieder geval onjuist zijn.

36.

Ik ben niet overtuigd door dit betoog. Zowel het onderzoek van de EDPS in het litigieuze besluit als de beoordeling van het Gerecht maakt namelijk deel uit van een juridische context waarmee rekening is gehouden en waarin het doel en de gevolgen van de betrokken opmerkingen, die zijn gemaakt in het kader van de procedure betreffende het recht om te worden gehoord, duidelijk worden vermeld. Deze argumenten betreffende het doel en de gevolgen van de betrokken opmerkingen zijn dus geldig en ontvankelijk.

37.

Bovendien blijkt ten gronde uit de toepasselijke bepalingen dat de procedure betreffende het recht om te worden gehoord, in het kader waarvan de betrokken opmerkingen zijn gemaakt, tot doel had de getroffen aandeelhouders en crediteuren in staat te stellen hun bijdrage aan de procedure te leveren, met name zodat de GAR over alle informatie zou beschikken die nodig is om een definitief besluit te nemen over het al dan niet toekennen van een vergoeding aan de aandeelhouders en crediteuren die door de afwikkeling van de Banco Popular zijn getroffen, in toepassing van het beginsel dat geen enkele crediteur slechter mag worden behandeld dan in geval van liquidatie volgens een normale insolventieprocedure. ( 17 ) Bovendien zouden deze opmerkingen, zodra zij door de GAR in aanmerking waren genomen, waarschijnlijk van invloed zijn op de belangen en rechten van de klagers in termen van financiële compensatie.

38.

Ik trek hieruit de conclusie dat de betrokken opmerkingen betrekking hebben op de personen waar het in deze zaak om gaat, onder meer door het doel en het gevolg ervan.

39.

Ik voeg hieraan toe dat het inderdaad juist is dat de betrokken opmerkingen, zoals doorgegeven aan Deloitte, waren „gefilterd, gecategoriseerd en geaggregeerd”, zodat, zoals blijkt uit de door het Gerecht vastgestelde feiten ( 18 ), de individuele opmerkingen niet konden worden onderscheiden binnen eenzelfde onderwerp. Toch kan worden aangenomen dat deze collectieve opmerkingen, zelfs geaggregeerd, inhoudelijk persoonlijke standpunten over waardering 3 weerspiegelen. Zij vormen immers een optelsom van meningen die als zodanig informatie vormen over de mensen die ze hebben geuit. Het filteren, categoriseren en aggregeren ervan doet hieraan niet af, anders zou het voldoende zijn om verschillende standpunten samen te aggregeren om de voorwaarde van informatie „betreffende” een natuurlijke persoon te omzeilen. Het feit dat het niet mogelijk is om binnen die optelsom van opmerkingen een onderscheid te maken tussen verschillende individuele meningen, lijkt mij eerder te vallen onder de tweede cumulatieve voorwaarde inzake de identificeerbaarheid van de betrokken personen, die in het kader van het tweede onderdeel van het onderhavige middel is onderzocht, dan onder de voorwaarde dat de opmerking „gelieerd” is aan een natuurlijke persoon.

40.

In die omstandigheden ben ik van mening dat de beoordeling van het Gerecht kan worden geacht op dat punt blijk te geven van een onjuiste rechtsopvatting, voor zover het heeft geoordeeld dat de EDPS niet had voldaan aan het door het arrest Nowak vereiste onderzoek om te besluiten dat het bij de betrokken opmerkingen ging om opmerkingen „betreffende” een natuurlijke persoon in de zin van artikel 3, punt 1, van verordening 2018/1725.

41.

Zou het Hof dit eerste onderdeel afwijzen en oordelen dat de betrokken gepseudonimiseerde opmerkingen geen betrekking hebben op de auteurs ervan, dan is het overbodig om het tweede onderdeel van het middel juridisch te onderzoeken, aangezien dit volgens artikel 3, punt 1, van verordening 2018/1725 een noodzakelijke voorwaarde is om te kunnen spreken van persoonsgegevens, cumulatief met die van de identificeerbaarheid van de betrokkenen, die hieronder wordt onderzocht.

42.

De EDPS en het Europees Comité voor gegevensbescherming betogen in wezen dat het Gerecht twee fouten heeft gemaakt: de eerste met betrekking tot het begrip „pseudonimisering” en de tweede met betrekking tot de uitlegging van het arrest Breyer ( 19 ), wat door de GAR en de Commissie wordt betwist.

43.

Deze grief illustreert het bestaan van twee zeer verschillende benaderingen van de reikwijdte van gegevensbeschermingsregels. Moeten gepseudonimiseerde gegevens automatisch hieronder vallen op de enkele grond dat de betrokkenen identificeerbaar blijven, ongeacht de toegankelijkheid van aanvullende identificerende gegevens, of moet ervan worden uitgegaan dat de gegevens na het pseudonimiseringsproces alleen persoonlijk worden voor degenen die de betrokkenen redelijkerwijs kunnen identificeren?

44.

De EDPS en het Europees Comité voor gegevensbescherming stellen in wezen dat gepseudonimiseerde gegevens persoonsgegevens blijven om de enkele reden dat de betrokkenen identificeerbaar blijven, aangezien de informatie aan de hand waarvan zij kunnen worden geïdentificeerd, blijft bestaan. De benadering van het Gerecht is onjuist in die zin dat gepseudonimiseerde gegevens zouden kunnen worden beschouwd als geanonimiseerde gegevens met betrekking tot de ontvanger, wat een risico inhoudt voor de bescherming van de betrokkenen en leidt tot verwarring tussen pseudonimisering en anonimisering. Een dergelijke benadering, die in strijd is met de bewoordingen en het doel van verordening 2018/1725, stelt de verwerkingsverantwoordelijke in staat persoonsgegevens ten onrechte te onttrekken aan de werkingssfeer van de Uniewetgeving inzake bescherming van dergelijke gegevens.

45.

De GAR en de Commissie stellen op hun beurt dat gepseudonimiseerde gegevens persoonsgegevens blijven voor de verwerkingsverantwoordelijke die ze heeft gepseudonimiseerd, maar dat voor de ontvangers de identificeerbaarheid van de betrokkenen moet worden onderzocht. Bovendien – ook al specificeert artikel 3, punt 1, van verordening 2018/1725 niet wie in staat moet zijn om de betrokkene te identificeren – is het in het licht van overweging 16 en in de context van artikel 15, lid 1, onder d), van die verordening waar het hier om gaat, het oogpunt van de ontvanger dat van belang is. Als de ontvanger geen persoonsgegevens ontvangt, hebben de betrokkenen er volgens hen geen belang bij om te worden geïnformeerd over de gegevensdoorgifte, omdat hun rechten niet worden aangetast.

46.

Allereerst is het niet overbodig om in herinnering te brengen dat pseudonimisering een verwerking is die wordt toegepast op persoonsgegevens om, overeenkomstig overweging 17 van verordening 2018/1725, „de risico’s [te] verminderen” van het correleren van een reeks persoonsgegevens met de identiteit van een betrokkene en „de verwerkingsverantwoordelijken en de verwerkers [te] helpen om hun verplichtingen inzake gegevensbescherming na te komen”.

47.

Artikel 3, punt 6, van verordening 2018/1725 definieert het begrip „pseudonimisering” in die zin als „het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld”. ( 20 )

48.

Pseudonimisering is dus geen element van de definitie van het begrip „persoonsgegevens” dat op zijn beurt in artikel 3, punt 1, van verordening 2018/1725 wordt gedefinieerd met betrekking tot het begrip „identificeerbaarheid” van de betrokkene. Bovendien wordt, zoals de Commissie in haar memorie van interventie heeft aangegeven, in de verordening het begrip „pseudonimisering” gedefinieerd, waarbij wordt verwezen naar het proces van het invoeren van een beschermingsmaatregel of een technische en organisatorische maatregel, maar niet naar het begrip „gepseudonimiseerde gegevens”.

49.

Deze uitlegging vindt steun in een gecombineerde lezing van artikel 3, punt 6, en overweging 16 van deze verordening, waarvan de eerste volzin luidt: „De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden.”

50.

Voorts verdient overweging 16 van verordening 2018/1725 een nadere analyse. ( 21 ) Deze bevat namelijk een tweede volzin waarin staat dat „[g]epseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, […] als gegevens over een identificeerbare natuurlijke persoon [moeten] worden beschouwd”. Dit wordt gevolgd door de derde en de vierde volzin, waarin de inhoud van deze identificeerbaarheidseis wordt gespecificeerd.

51.

Uit de bewoordingen van deze bepalingen leid ik af dat pseudonimisering de mogelijkheid openlaat dat de betrokkenen niet identificeerbaar zijn, anders zouden de bewoordingen van deze overweging 16 geen bestaansrecht hebben. Ik voeg hieraan toe dat de laatste volzinnen van deze overweging over anonimisering deze uitlegging bevestigen: zij sluiten geanonimiseerde (of anoniem gemaakte) gegevens uit van de werkingssfeer van verordening 2018/1725 ( 22 ), maar sluiten gepseudonimiseerde gegevens alleen ervan uit voor zover de betrokkenen niet identificeerbaar zijn. Als het onmogelijk is om de betrokken personen te identificeren, worden zij derhalve wettelijk geacht voldoende beschermd te zijn door het pseudonimiseringsproces, ondanks het feit dat de aanvullende identificatiegegevens niet volledig zijn gewist.

52.

Met andere woorden, er is geen sprake van dat gepseudonimiseerde gegevens automatisch uit de werkingssfeer van deze verordening worden gehaald. ( 23 ) In het licht van overweging 16 ervan kan echter niet worden uitgesloten dat dergelijke gegevens onder bepaalde voorwaarden niet onder het begrip „persoonsgegevens” vallen.

53.

In tegenstelling tot wat de EDPS beweert, lijkt een dergelijke aanpak mij niet in strijd met de doelstelling om een hoog niveau van bescherming van persoonsgegevens te waarborgen, met name gelet op de in de toepasselijke bepalingen gestelde eisen inzake identificeerbaarheid en de uitlegging daarvan in de rechtspraak.

54.

Ten eerste verwijst overweging 16 van verordening 2018/1725 naar identificeerbaarheid door de verwerkingsverantwoordelijke „of door een andere persoon”. Dit brede, zij het niet onbeperkte ( 24 ), concept is in overeenstemming met een benadering die persoonsgegevens beschermt.

55.

Evenzo staat in deze overweging 16 dat rekening moet worden gehouden met alle middelen waarvan redelijkerwijs te verwachten valt dat zij zullen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren door rekening te houden met alle objectieve factoren, zoals de kosten en de tijd die nodig zijn voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen, hetgeen een ruime en beschermende definitie van persoonsgegevens is.

56.

Ten tweede maakt de uitlegging van dit begrip „identificeerbaarheid” in de rechtspraak, waarbij de nadruk ligt op het risico van heridentificatie van de betrokkenen, ook een ruime toepassing van het begrip „persoonsgegevens” mogelijk. Zo heeft het Hof systematisch gegevens als „persoonsgegevens” aangemerkt die, hoewel losgekoppeld van de identificatiegegevens in handen van iemand anders, in de betrokken context een risico op heridentificatie van de betrokkenen zouden kunnen opleveren. ( 25 )

57.

Alleen als het gevaar voor identificatie onbestaand of onbeduidend is ( 26 ), kunnen gegevens dus wettelijk ontsnappen aan de kwalificatie als „persoonsgegevens”.

58.

Ik ben niet overtuigd door de argumenten van de EDPS en het Europees Comité voor gegevensbescherming betreffende de gevaren die voortvloeien uit een te strikte uitlegging van persoonsgegevens. Het feit dat de regels die voortvloeien uit verordening 2018/1725 niet van toepassing zijn op gegevens met betrekking tot niet‑identificeerbare personen, verhindert namelijk niet dat entiteiten die aan de oorsprong liggen van laakbaar gedrag, in voorkomend geval wettelijk aansprakelijk kunnen worden gesteld, bijvoorbeeld in geval van openbaarmaking van de gegevens die tot schade leidt. Het lijkt mij daarentegen onevenredig om aan een entiteit, die de betrokkenen redelijkerwijs niet zou kunnen identificeren, verplichtingen op te leggen die voortvloeien uit verordening 2018/1725 ( 27 ), zijnde verplichtingen waaraan die entiteit per definitie niet zou kunnen voldoen of die haar zouden verplichten om juist te proberen de betrokkenen te identificeren.

59.

In het licht van deze overwegingen ben ik, als men het geding analyseert met betrekking tot de gegevens zoals die aan Deloitte zijn doorgegeven, van mening dat, in tegenstelling tot wat de EDPS beweert, moest worden nagegaan of de pseudonimisering van de betrokken gegevens voldoende solide was om tot de slotsom te komen dat de klagers, zijnde de auteurs van de aan Deloitte doorgezonden informatie, redelijkerwijs niet identificeerbaar waren. Met andere woorden, als Deloitte in deze context over redelijke middelen beschikte om de klagers te identificeren, kon zij geacht worden persoonsgegevens te verwerken.

60.

De eerste grief van de EDPS moet daarom naar mijn mening worden verworpen.

61.

Volgens de EDPS, daarin gesteund door het Europees Comité voor gegevensbescherming, zijn de betrokken gepseudonimiseerde gegevens voor de GAR persoonsgegevens en was de GAR derhalve verplicht om de betrokkenen informatie over de ontvanger te verstrekken. In wezen betoogt de EDPS dat het Gerecht het arrest Breyer, dat betrekking heeft op een andere feitelijke situatie, onjuist heeft uitgelegd.

62.

De GAR is daarentegen van mening, daarin gesteund door de Commissie, dat de vergelijking met het arrest Breyer relevant is en tot de slotsom leidt dat de informatieplicht alleen geldt indien de doorgezonden gegevens persoonsgegevens zijn uit het oogpunt van de ontvanger, in casu Deloitte, wat – zoals het Gerecht terecht heeft geoordeeld – in het onderhavige geval niet is aangetoond.

63.

Ik ben van mening dat de in artikel 15, lid 1, onder d), van verordening 2018/1725 neergelegde informatieplicht en het parallellisme met het arrest Breyer in casu leiden tot een andere oplossing dan die van het Gerecht, hetgeen ik in de analyse van de onderhavige grief zal uiteenzetten.

64.

Artikel 4, lid 1, onder a), van verordening 2018/1725 schrijft voor dat gegevens ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant worden verwerkt.

65.

In het bijzonder bepaalt artikel 15, lid 1, onder d), van deze verordening dat wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, de verwerkingsverantwoordelijke de betrokkene „bij de verkrijging van de persoonsgegevens” meedeelt wie de mogelijke ontvangers van de gegevens zijn. Deze informatie moet dus onmiddellijk door de verwerkingsverantwoordelijke worden verstrekt, dat wil zeggen op het moment dat de gegevens worden verzameld. ( 28 )

66.

Het belang van de naleving van een dergelijke informatieplicht vindt tevens steun in overweging 35 van verordening 2018/1725, waarin staat dat overeenkomstig de beginselen van behoorlijke en transparante verwerking de betrokkene op de hoogte moet worden gesteld van het feit dat verwerking plaatsvindt en van de doeleinden daarvan, waarbij wordt benadrukt dat de verwerkingsverantwoordelijke alle nadere informatie dient te verstrekken die noodzakelijk is om behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. ( 29 )

67.

Een dergelijke informatieplicht is des te belangrijker omdat de geldigheid van de door de betrokkene verleende toestemming onder meer afhangt van de vraag of deze persoon van tevoren de informatie heeft gekregen over alle omstandigheden rond de verwerking van de betrokken gegevens waarop hij krachtens de artikelen 14 en 15 van verordening 2018/1725 recht heeft en op grond waarvan hij met volledige kennis van zaken toestemming kan geven. ( 30 )

68.

Ik voeg hieraan toe dat deze informatieplicht slechts één uitzondering kent, neergelegd in artikel 15, lid 4, van verordening 2018/1725, te weten de situatie waarin de betrokkene reeds over de betrokken informatie beschikt.

69.

Ik leid hieruit af dat deze informatieplicht in het onderhavige geval valt binnen de werkingssfeer van de rechtsverhouding die bestaat tussen de betrokkenen, in casu de klagers, enerzijds, en de GAR als verwerkingsverantwoordelijke, anderzijds, en niet binnen de werkingssfeer van de verhouding tussen de GAR en de ontvanger, te weten Deloitte. De informatieplicht heeft dus betrekking op de gegevens zoals de GAR die vóór de doorgifte aan Deloitte in zijn bezit had. Niet betwist wordt dat dit persoonsgegevens zijn, aangezien de GAR de opmerkingen en de identificatiegegevens van de personen die deze opmerkingen hebben gemaakt, in zijn bezit heeft.

70.

Een dergelijke benadering van het „relevante oogpunt” ( 31 ) leidt mij dus tot een andere oplossing dan die van het Gerecht, zelfs als ik een vergelijking trek met het arrest Breyer.

71.

Ik wijs erop dat Breyer in het geschil dat tot de prejudiciële vraag in dat arrest heeft geleid, de verwerkingsverantwoordelijke (de Bondsrepubliek Duitsland) wilde verbieden om zijn dynamische IP‑adres te bewaren. Niet de verwerkingsverantwoordelijke maar de internetprovider beschikte over de extra informatie waarmee hij kon worden geïdentificeerd via het IP‑adres dat aan zijn computer was gekoppeld. De vraag was dus of het dynamische IP‑adres waarover de verwerkingsverantwoordelijke beschikte, kon worden aangemerkt als persoonsgegeven en derhalve als zodanig, in de context van de rechtsverhouding tussen Breyer en de verwerkingsverantwoordelijke, de bewaarplicht van laatstgenoemde in werking kon doen treden, ook al waren de identificatiegegevens van Breyer in handen van een andere persoon dan de verwerkingsverantwoordelijke. In essentie werd geoordeeld dat de verwerkingsverantwoordelijke, hoewel hij niet in het bezit was van de aanvullende identificatiegegevens, er redelijkerwijs toegang toe kon krijgen en dat het dynamische IP‑adres daarom als „persoonsgegeven” werd aangemerkt.

72.

In het onderhavige geval maakt de informatieplicht, zoals hierboven vermeld ( 32 ), deel uit van de relatie tussen de betrokkenen (de klagers) en de verwerkingsverantwoordelijke (de GAR): de informatieplicht treedt in werking op het moment dat de betrokken gegevens door de GAR worden verzameld en, in het bijzonder met betrekking tot informatie over de ontvanger, uiterlijk op het moment dat de ontvanger bekend is. Op dat moment zijn de betrokken gegevens persoonsgegevens in handen van de GAR die over de aanvullende identificatiegegevens beschikt. Wat de betrokken informatieplicht en het tijdstip van de concretisering ervan betreft, ging het bij de betrokken gegevens dus om persoonsgegevens, ongeacht de identificeerbaarheid ervan door Deloitte, die noch betrokken is bij de rechtsbetrekking tussen de klagers en de GAR, die de enige relevante is, noch bij deze informatieplicht van de GAR.

73.

In zoverre moet het parallellisme met het arrest Breyer mijns inziens in het onderhavige geval worden gerelativeerd.

74.

Hieruit volgt dat de informatieplicht op de GAR rustte in zijn hoedanigheid van verwerkingsverantwoordelijke en op grond van zijn relatie met de klagers, van wie hij de betrokken gegevens heeft verzameld, en dit ongeacht de al dan niet persoonlijke aard van de gegevens zoals die aan Deloitte zijn doorgezonden.

75.

Het argument van de GAR, dat ter terechtzitting werd herhaald, dat het standpunt van de ontvanger relevant is omdat het belangrijk is om na te gaan of hij een „ontvanger van persoonsgegevens” is of niet, moet in deze logica worden verworpen.

76.

In dat verband is het juist dat de bewoordingen van artikel 15, lid 1, onder d), van verordening 2018/1725, waarin wordt verwezen naar de „ontvangers […] van de persoonsgegevens”, verwarrend kunnen zijn. Het nuttig effect van deze bepaling vereist echter dat de informatie zo spoedig mogelijk en voorafgaand aan de genoemde doorgifte van gegevens aan de betrokkenen wordt doorgezonden. ( 33 ) Ook al was de GAR ten tijde van de eerste verzameling van opmerkingen niet van plan om Deloitte om advies te vragen over de vraag of die opmerkingen een wijziging van waardering 3 inhielden, dan nog blijkt in casu uit het litigieuze besluit voor het Gerecht dat Deloitte de GAR heeft bijgestaan in het kader van de procedure om te worden gehoord. ( 34 ) Bovendien kan ervan worden uitgegaan dat het voornemen van de GAR om de gepseudonimiseerde gegevens aan Deloitte mee te delen, uiterlijk bestond op het moment waarop werd besloten de betrokken opmerkingen te verwerken, precies met het oog op de pseudonimisering ervan ( 35 ), zonder welke de pseudonimisering geen rechtvaardiging zou hebben.

77.

Ik ben dan ook van mening dat het toezicht op de naleving van de informatieplicht op het moment dat de gegevens door de GAR aan Deloitte werden doorgegeven, door het standpunt van de ontvanger in te nemen om de betrokken gegevens al dan niet als persoonsgegevens te kwalificeren, ertoe leidt dat dit toezicht in de tijd wordt verschoven. Deze controle zou derhalve ten onrechte worden uitgesteld, doordat zij zou worden uitgevoerd op gegevens die reeds aan de ontvanger zijn doorgegeven, terwijl het doel van de informatieplicht ziet op de relatie tussen de GAR en de klagers en erop is gericht laatstgenoemden in staat te stellen vóór de doorgifte hun geïnformeerde toestemming te geven.

78.

Bovendien kan, wat de toestemming van de klagers betreft, hun deelname aan de procedure om te worden gehoord weliswaar worden uitgelegd als een impliciete toestemming om persoonsgegevens te delen met de verwerkingsverantwoordelijke met het oog op het in aanmerking nemen van hun opmerkingen. Naar mijn mening is dit echter onvoldoende om te kunnen spreken van geïnformeerde toestemming voor de pseudonimisering van gegevens en de doorgifte daarvan aan Deloitte zonder voorafgaande informatie hieromtrent van de GAR. ( 36 )

79.

Hieruit volgt naar mijn mening dat de op de GAR rustende informatieplicht in het onderhavige geval van toepassing was vóór de doorgifte van de betrokken gegevens en ongeacht of het al dan niet persoonsgegevens waren in handen van Deloitte.

80.

Het feit dat de pseudonimisering al dan niet voldoende solide en effectief is om te kunnen oordelen dat de gegevens in handen van Deloitte al dan niet persoonsgegevens zijn, lijkt mij voor de informatieplicht van de GAR dan ook niet ter zake te doen.

81.

Bijgevolg moest in casu de op de GAR als verwerkingsverantwoordelijke rustende informatieplicht worden nagekomen en moet het bestreden arrest om die reden worden vernietigd wegens een onjuiste rechtsopvatting.

82.

Aangezien het standpunt van de ontvanger van de betrokken gegevens irrelevant is in het licht van de in artikel 15, lid 1, onder d), van verordening 2018/1725 neergelegde informatieplicht, snijden de argumenten van partijen betreffende de mogelijkheid voor Deloitte om de betrokkenen te identificeren, met wettelijke en in de praktijk uitvoerbare middelen, geen hout en hoeven zij dus niet te worden onderzocht.

83.

Voor het geval het Hof deze mening niet deelt, wijs ik er subsidiair op dat de EDPS in dat verband de vaststelling van het Gerecht betwist dat Deloitte geen toegang had tot de identificatiegegevens. Hij beroept zich met name op de vermeende contractuele onderaannemingsrelatie tussen de GAR en Deloitte. De GAR en de Commissie betogen dat de EDPS daarmee nieuwe feitelijke beweringen doet die in hogere voorziening niet‑ontvankelijk zijn. Ik ben het daarmee eens. Het bestaan van een contractuele relatie tussen de GAR en Deloitte, waaruit zou blijken dat Deloitte de GAR kon verzoeken de klagers te identificeren, is immers een nieuw argument waarover het Gerecht zich trouwens niet heeft uitgesproken. Daaruit volgt dat dit argument in voorkomend geval niet‑ontvankelijk moet worden verklaard op grond van artikel 170, lid 1, tweede volzin, van het Reglement voor de procesvoering van het Hof, op grond waarvan in hogere voorziening het voorwerp van het geschil voor het Gerecht niet mag worden gewijzigd. ( 37 )

84.

Met zijn tweede middel inzake schending van het in artikel 4, lid 2, en artikel 26, lid 1, van verordening 2018/1725 neergelegde verantwoordingsbeginsel, betoogt de EDPS, daarin gesteund door het Europees Comité voor gegevensbescherming, dat het Gerecht ten onrechte heeft geoordeeld dat het aan hem was om aan te tonen dat de aan Deloitte doorgezonden informatie persoonsgegevens vormde, hetgeen in strijd is met het verantwoordingsbeginsel van de GAR.

85.

Gelet op het voorgaande, en met name op de punten 81 en 82 hierboven, ben ik van mening dat het niet nodig is dit tweede middel te onderzoeken.

86.

Daarom zal ik slechts kort, subsidiair, hierop ingaan.

87.

Met betrekking tot de door de GAR betwiste ontvankelijkheid van dit middel, dat niet voor het Gerecht is aangevoerd, herinner ik eraan dat een verzoeker een hogere voorziening kan instellen waarin hij middelen aanvoert die uit het bestreden arrest zelf voortvloeien en ertoe strekken de gegrondheid van het arrest in rechte te betwisten. ( 38 ) Dat lijkt mij het geval te zijn met het onderhavige middel, dat dus ontvankelijk is.

88.

Ten gronde zij eraan herinnerd dat het Gerecht heeft geoordeeld dat aangezien de EDPS niet heeft onderzocht of Deloitte over wettelijke en in de praktijk uitvoerbare middelen beschikte om toegang te krijgen tot de aanvullende gegevens die nodig waren voor de heridentificatie van de klagers, de EDPS niet tot de slotsom kon komen dat de informatie die aan Deloitte was doorgezonden, informatie vormde die betrekking had op een „identificeerbare natuurlijke persoon” in de zin van artikel 3, punt 1, van verordening 2018/1725.

89.

De EDPS, daarin gesteund door het Europees Comité voor gegevensbescherming, betoogt in essentie dat het Gerecht had moeten nagaan of de GAR, de verwerkingsverantwoordelijke, had bewezen dat hij de litigieuze gegevens ten aanzien van Deloitte had geanonimiseerd.

90.

De GAR komt hiertegen op met het argument dat het verantwoordingsbeginsel alleen van toepassing is op persoonsgegevens en dat, in dit geval, de gegevens in handen van Deloitte waren geanonimiseerd.

91.

De Commissie stelt op haar beurt dat, in de eerste plaats, de EDPS een redelijke bewijslast heeft om op basis van het beschikbare bewijs het bestaan van persoonsgegevens aan te tonen. In de tweede plaats is het aan de betrokken verwerkingsverantwoordelijke om die conclusie te weerleggen door aanvullend bewijs aan te dragen.

92.

Ik herinner eraan dat persoonsgegevens op grond van artikel 4, lid 1, onder a), van verordening 2018/1725 rechtmatig, behoorlijk en op een voor de betrokkene transparante wijze moeten worden verwerkt. Artikel 4, lid 2, van deze verordening bepaalt dat „[d]e verwerkingsverantwoordelijke […] verantwoordelijk [is] voor de naleving van lid 1 en […] deze [kan] aantonen”. Uit het verantwoordingsbeginsel, dat is neergelegd in artikel 4, lid 2, en dat wordt verduidelijkt in artikel 26, lid 1, van deze verordening, volgt dus dat de verwerkingsverantwoordelijke moet kunnen aantonen dat de in artikel 4, lid 1, neergelegde beginselen betreffende de verwerking van persoonsgegevens worden nageleefd. ( 39 )

93.

Als de verwerkingsverantwoordelijke in dit opzicht voldoende bewijs levert, kan hij derhalve worden geacht aan zijn bewijslast te hebben voldaan. ( 40 )

94.

In casu lijkt het mij dat de GAR zich op verschillende feitelijke elementen heeft gebaseerd (met name de in het litigieuze besluit en het bestreden arrest beschreven processen van filteren, categoriseren en aggregeren van opmerkingen) om overeenkomstig het op hem rustende verantwoordingsbeginsel aan te tonen dat het voor Deloitte onmogelijk was om de betrokken personen te identificeren.

95.

Voor het Gerecht heeft de EDPS in dit verband een principieel standpunt ingenomen door zich achter de zienswijze van de GAR en niet die van Deloitte te scharen, en aldus de aan Deloitte doorgegeven opmerkingen als persoonsgegevens aan te merken.

96.

Wordt, ten behoeve van het subsidiaire onderzoek van het onderhavige middel, aanvaard dat de zienswijze van Deloitte in de onderhavige zaak relevant was ( 41 ), dan zou kunnen worden geoordeeld dat, zoals het Gerecht heeft gedaan, het aan de EDPS was om aan te tonen ( 42 ) waarom het door de GAR in de onderhavige zaak toegepaste pseudonimiseringsproces om juridische of technische redenen niet toereikend was en tot het besluit moest leiden dat Deloitte persoonsgegevens verwerkte.

97.

Ik ben derhalve van mening dat, in voorkomend geval, het bestreden arrest moet worden bevestigd wat dit tweede middel betreft.

98.

Overeenkomstig artikel 61, eerste alinea, van het Statuut van het Hof van Justitie van de Europese Unie vernietigt het Hof de beslissing van het Gerecht in geval van gegrondheid van het verzoek om hogere voorziening. Het kan dan zelf de zaak afdoen wanneer deze in staat van wijzen is, dan wel haar voor afdoening verwijzen naar het Gerecht.

99.

Het eerste middel van de GAR tegen het litigieuze besluit voor het Gerecht is ontleend aan schending van artikel 3, punt 1, van verordening 2018/1725. Uit de punten 63 tot en met 82 van deze conclusie volgt dat het litigieuze besluit, aangezien de GAR niet heeft voldaan aan zijn informatieplicht op grond van artikel 15, lid 1, onder d), van verordening 2018/1725, mijns inziens dan ook dient te worden bevestigd.

100.

Het tweede middel, ontleend aan schending door de EDPS van het recht op behoorlijk bestuur in het kader van de procedure die tot de vaststelling van het litigieuze besluit heeft geleid, lijkt mij daarentegen niet in staat van wijzen.

101.

De GAR betoogt namelijk in het bijzonder dat de EDPS tijdens de administratieve procedure voorafgaand aan de vaststelling van het litigieuze besluit zijn recht op toegang tot het dossier, zijn recht om te worden gehoord en het beginsel van equality of arms heeft geschonden door hem de toegang tot het dossier te weigeren en hem niet in kennis te stellen van de opmerkingen van de klagers of de inhoud daarvan.

102.

Het Gerecht heeft geoordeeld dat, aangezien het eerste middel was toegewezen, het tweede middel niet hoefde te worden onderzocht. Bijgevolg kan dit middel, dat onder meer feitelijke beoordelingen inhoudt, niet worden onderzocht. Het lijkt mij dan ook aangewezen dat de zaak wordt terugverwezen naar het Gerecht voor afdoening en de beslissing omtrent de kosten wordt aangehouden.

103.

Gelet op het voorgaande geef ik het Hof in overweging om: