1.

Europejski Inspektor Ochrony Danych (EIOD) wnosi w swoim odwołaniu o uchylenie wyroku Sądu Unii Europejskiej z dnia 26 kwietnia 2023 r., SRB/EIOD (T‑557/20, zwanego dalej zaskarżonym wyrokiem, EU:T:2023:219), na mocy którego Sąd stwierdził nieważność zmienionej decyzji EIOD z dnia 24 listopada 2020 r. (zwanej dalej „sporną decyzją”) w przedmiocie wniesionych przez akcjonariuszy i wierzycieli, których dotyczyła restrukturyzacja i uporządkowana likwidacja banku Banco Popular Español SA (zwanego dalej „Banco Popular”), pięciu skarg, w których podnieśli oni, że nie zostali poinformowani o przetwarzaniu ich danych osobowych.

2.

Niniejsza sprawa daje Trybunałowi możliwość wyjaśnienia, w kontekście danych spseudonimizowanych, pojęcia „danych osobowych” i wynikających z niego obowiązków w celu spełnienia wymogu rzetelnego i przejrzystego przetwarzania danych.

3.

Głównymi przepisami rozporządzenia (UE) 2018/1725 ( 2 ) mającymi zastosowanie w związku z niniejszym odwołaniem są następujące przepisy:

4.

Motywy 16 i 17 tego rozporządzenia mają następujące brzmienie:

5.

Artykuł 3 wspomnianego rozporządzenia, zatytułowany „Definicje”, stanowi w pkt 1 i 6:

„Do celów niniejszego rozporządzenia stosuje się następujące definicje:

[…]

6.

Artykuł 4 tego rozporządzenia, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, w ust. 1 lit. a) i w ust. 2 stanowi:

„1.   Dane osobowe muszą być:

[…]

2.   Administrator jest odpowiedzialny za przestrzeganie ust. 1 i musi być w stanie wykazać jego przestrzeganie (»rozliczalność«)”.

7.

Artykuł 15 rozporządzenia 2018/1725, zatytułowany „Informacje podawane w przypadku zbierania danych osobowych od osoby, której dane dotyczą”, stanowi w ust. 1 lit. d):

„Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, podczas pozyskiwania danych osobowych administrator podaje jej wszystkie następujące informacje:

[…]

8.

W dniu 7 czerwca 2017 r. Jednolita Rada ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) przedstawiła program restrukturyzacji i uporządkowanej likwidacji w odniesieniu do Banco Popular na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 806/2014 z dnia 15 lipca 2014 r. ustanawiającego jednolite zasady i jednolitą procedurę restrukturyzacji i uporządkowanej likwidacji instytucji kredytowych i niektórych firm inwestycyjnych w ramach jednolitego mechanizmu restrukturyzacji i uporządkowanej likwidacji oraz jednolitego funduszu restrukturyzacji i uporządkowanej likwidacji oraz zmieniającego rozporządzenie (UE) nr 1093/2010 ( 3 ), zatwierdzony w tym samym dniu przez Komisję Europejską ( 4 ), co oznacza w istocie, że instrumenty kapitałowe banku zostały umorzone lub dokonano ich konwersji oraz zostały zbyte poprzez przeniesienie akcji na nabywcę.

9.

Zgodnie z art. 20 ust. 16–18 rozporządzenia nr 806/2014 SRB powierzyła Deloitte, jako „osobie niezależnej” ( 5 ), dokonanie wyceny różnicy w traktowaniu w celu ustalenia, czy akcjonariusze i wierzyciele, których dotyczy restrukturyzacja i uporządkowana likwidacja, zostaliby lepiej potraktowani, gdyby wspomniana instytucja została objęta standardowym postępowaniem upadłościowym.

10.

W dniu 14 czerwca 2018 r. Deloitte przekazał SRB rzeczoną wycenę różnicy w traktowaniu (zwaną dalej „wyceną nr 3”). W decyzji wstępnej SRB wskazała, że w celu umożliwienia jej podjęcia ostatecznej decyzji w sprawie przyznania lub nieprzyznania akcjonariuszom i wierzycielom, których dotyczy restrukturyzacja i uporządkowana likwidacja Banco Popular, rekompensaty na podstawie art. 76 ust. 1 lit. e) rozporządzenia nr 806/2014, rozpoczyna ona procedurę dotyczącą prawa do bycia wysłuchanym, obejmującą pierwszą fazę rejestracji, w celu zweryfikowania, czy strony wskazujące swój interes kwalifikują się do udziału w procedurze, oraz drugą fazę konsultacji, w ramach której zainteresowani akcjonariusze i wierzyciele mogą przedstawić swoje uwagi na temat wstępnej decyzji SRB, do której załączono wycenę nr 3.

11.

Dane zebrane w fazie rejestracji, a mianowicie dowody tożsamości uczestników i dowody własności instrumentów kapitałowych Banco Popular, które zostały umorzone lub w przypadku których dokonano konwersji i przekazania, były dostępne ograniczonej liczbie pracowników SRB odpowiedzialnych za przetwarzanie tych danych w celu określenia, czy uczestnicy kwalifikowali się do udziału w procedurze. Dane te nie były widoczne dla pracowników SRB odpowiedzialnych za przetwarzanie uwag otrzymanych w fazie konsultacji, podczas której otrzymywali oni jedynie uwagi zidentyfikowane poprzez odniesienie do kodu alfanumerycznego ( 6 ) przypisanego do każdej uwagi przedłożonej za pomocą formularza.

12.

Po zsumowaniu, automatycznym przefiltrowaniu i skategoryzowaniu uwag SRB wysłała Deloitte ( 7 ) przefiltrowane, skategoryzowane i zsumowane uwagi dotyczące wyceny nr 3. Uwagi przekazane Deloitte obejmowały tylko te, które zostały otrzymane w fazie konsultacji i zawierały kod alfanumeryczny, opracowany do celów audytu, aby umożliwić SRB sprawdzenie i ewentualne wykazanie a posteriori, że każda uwaga została przetworzona i należycie wzięta pod uwagę. Za pomocą tego kodu SRB jako jedyna była w stanie powiązać uwagi z danymi otrzymanymi podczas fazy rejestracji. Deloitte nie miał i nadal nie ma dostępu do bazy danych zebranych w fazie rejestracji.

13.

Zainteresowani akcjonariusze i wierzyciele (zwani dalej „skarżącymi”) złożyli do EIOD pięć skarg na podstawie rozporządzenia 2018/1725, powołując się na okoliczność, że oświadczenie o poufności dotyczące przetwarzania danych osobowych opublikowane przez SRB nie zawierało żadnej wzmianki o przekazaniu Deloitte danych zebranych za pomocą formularza. Podnoszą oni naruszenie przez SRB obowiązku informacyjnego dotyczącego przetwarzania danych osobowych, spoczywającego na niej na mocy tego rozporządzenia, zgodnie z art. 15 ust. 1 lit. d) wspomnianego rozporządzenia.

14.

W dniu 24 czerwca 2020 r. EIOD wydał wstępną decyzję, która została unieważniona w następstwie wniosku SRB o ponowne rozpatrzenie sprawy i zastąpiona w dniu 24 listopada 2020 r. zaskarżoną decyzją o następującej treści:

15.

Pismem złożonym w sekretariacie Sądu w dniu 1 września 2020 r. oraz pismem dostosowującym złożonym w dniu 29 stycznia 2021 r. SRB wniosła skargę, w której zmierzała, po pierwsze, do stwierdzenia nieważności spornej decyzji, a po drugie, do stwierdzenia niezgodności z prawem pierwotnej decyzji EIOD z dnia 24 czerwca 2020 r.

16.

Na poparcie pierwszego żądania skargi ( 8 ) SRB podniosła dwa zarzuty. Zarzut pierwszy dotyczył naruszenia art. 3 pkt 1 rozporządzenia 2018/1725, ponieważ informacje przesłane do Deloitte nie stanowiły danych osobowych, zaś zarzut drugi dotyczył naruszenia prawa do dobrej administracji, o którym mowa w art. 41 Karty praw podstawowych Unii Europejskiej.

17.

W zaskarżonym wyroku Sąd uznał to żądanie za dopuszczalne. Co do istoty, Sąd uwzględnił zarzut pierwszy skargi i uchylił sporną decyzję, nie badając zarzutu drugiego.

18.

W odniesieniu do zarzutu pierwszego Sąd orzekł, po pierwsze, że EIOD uznał, iż informacje przesłane Deloitte są informacjami „o” osobie fizycznej w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725 na podstawie domniemania, nie zbadawszy ani treści, ani celu, ani skutków informacji przesłanych Deloitte ( 9 ), co jest sprzeczne z wyrokiem Nowak ( 10 ).

19.

Po drugie, jeśli chodzi o warunek określony w art. 3 pkt 1 rozporządzenia 2018/1725, zgodnie z którym informacja powinna dotyczyć „zidentyfikowanej lub możliwej do zidentyfikowania” osoby fizycznej, Sąd stwierdził, że w tej sprawie do EIOD należało zbadanie, czy uwagi przesłane do Deloitte stanowiły dla Deloitte dane osobowe. Jednak, jak wskazano w zaskarżonym wyroku, EIOD zbadał jedynie możliwość ponownej identyfikacji autorów uwag z punktu widzenia SRB, a nie Deloitte. W związku z tym, wobec braku zbadania przez EIOD, czy Deloitte dysponował prawnymi i praktycznie wykonalnymi środkami dostępu do dodatkowych informacji, niezbędnych do ponownej identyfikacji autorów uwag, EIOD nie mógł stwierdzić, że informacje przesłane Deloitte stanowiły informacje o „możliwej do zidentyfikowania osoby fizycznej” w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725 ( 11 ).

20.

Pismem złożonym w sekretariacie Trybunału w dniu 5 lipca 2023 r. EIOD wniósł odwołanie od zaskarżonego wyroku. Postanowieniem prezesa Trybunału z dnia 29 listopada 2023 r. ( 12 ) Europejska Rada Ochrony Danych została dopuszczona do sprawy w charakterze interwenienta popierającego żądania EIOD, a postanowieniem z dnia 20 października 2023 r. Komisja Europejska została dopuszczona do sprawy w charakterze interwenienta popierającego żądania SRB.

21.

EIOD wnosi do Trybunału o:

22.

Europejska Rada Ochrony Danych, popierająca żądania EIOD, wnosi do Trybunału o:

23.

SRB wnosi do Trybunału o:

24.

Komisja Europejska, popierająca żądania SRB, wnosi do Trybunału o:

25.

Na poparcie odwołania EIOD, wspierany przez Europejską Radę Ochrony Danych, podnosi dwa zarzuty. Pierwszy z nich zmierza do zakwestionowania dokonanej przez Sąd wykładni pojęcia „danych osobowych” w rozumieniu art. 3 pkt 1 i 6 rozporządzenia 2018/1725, zgodnie z interpretacją wynikającą z orzecznictwa Trybunału. Zarzut drugi dotyczy naruszenia zasady rozliczalności wyrażonej w art. 4 ust. 2 i art. 26 ust. 1 tegoż rozporządzenia.

26.

Zarzut pierwszy składa się z dwóch części. Część pierwsza zarzutu dotyczy warunku, w świetle którego sporne informacje powinny być „o” osobie fizycznej, a zarzut drugi dotyczy warunku polegającego na tym, że wspomniana osoba powinna być „zidentyfikowana lub możliwa do zidentyfikowania”.

27.

EIOD, popierany przez Europejską Radę Ochrony Danych, twierdzi, że Sąd błędnie orzekł, iż EIOD oparł się na domniemaniu dotyczącym interpretacji warunku, zgodnie z którym informacje przesłane Deloitte dotyczyły osoby fizycznej w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725. Jego zdaniem w okolicznościach sprawy dokładniejsze badanie z jego strony nie było wymagane.

28.

SRB podnosi z kolei, że jak wynika z wyroku Sądu, EIOD ograniczył się do wskazania, iż przedmiotowe uwagi przedstawione przez skarżących na etapie konsultacji w ramach procedury dotyczącej prawa do bycia wysłuchanym odzwierciedlały ich opinie lub punkty widzenia, podczas gdy powinien był zbadać, czy informacje przesłane do Deloitte były powiązane z konkretną osobą ze względu na ich treść, cel lub skutek, jak wymaga tego wyrok Nowak.

29.

Należy przypomnieć, że Trybunał wielokrotnie orzekał, iż użycie w definicji „danych osobowych” wyrażenia „wszelkie informacje” odzwierciedla przyświecający unijnemu prawodawcy zamiar przypisania temu pojęciu szerokiego zakresu, obejmującego potencjalnie wszelkie informacje ( 13 ), zarówno obiektywne, jak i subiektywne, w postaci opinii czy oceny, jednakże pod warunkiem że „dotyczą” one danej osoby.

30.

W związku z tym informacja dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli ze względu na swą treść, cel czy skutek dana informacja jest „powiązana” z daną osobą ( 14 ).

31.

Jeśli chodzi o opinie czy oceny, takie jak przedmiotowe uwagi skarżących w niniejszej sprawie, zasadne wydaje się rozróżnienie w zależności od tego, czy wspomniane opinie bądź oceny „są powiązane” z jedną czy z kilkoma osobami, których dotyczy tekst opinii lub oceny, lub czy, tak jak w niniejszej sprawie, chodzi o ustalenie, czy są one powiązane z ich autorem. W pierwszym przypadku, aby stwierdzić istnienie informacji powiązanej z osobą, której dotyczy ocena, należy rozważyć, czy zawartość, cel lub skutek oceny dotyczą wspomnianej osoby. Z kolei w drugim przypadku, w celu ustalenia, czy ocena jest powiązana z osobą, która ją wydała, możliwe wydaje mi się założenie, że tak jest i że opinia lub ocena w sposób konieczny są powiązane z ich autorem.

32.

I tak, w wyroku Nowak główną kwestią była ocena informacji zawartych w arkuszu egzaminacyjnym. Sprawa dotyczyła zatem dwóch osób: kandydata i egzaminatora. Prawdą jest, że Trybunał zbadał treść, cel i skutek odpowiedzi kandydata, aby wywieść z tego wniosek, że dotyczyły one tego kandydata. Jednakże jeśli chodzi w szczególności w odniesieniu do komentarzy egzaminatora, które odzwierciedlają jego opinię czy ocenę ( 15 ), to chociaż Trybunał zbadał treść, cel i skutek informacji zawartych w arkuszu, by stwierdzić, że wspomniane oceny odnoszą się do kandydata, nie przeprowadził on takiej analizy celem ustalenia, że stanowią one informacje dotyczące egzaminatora, który był ich autorem ( 16 ). Moim zdaniem nie można zatem całkowicie wykluczyć, że domniemanie (zwykłe) może mieć zastosowanie przy ocenie, czy opinia lub ocena, lub, jak w tym przypadku, uwaga „odnoszą się” do ich autora.

33.

W związku z powyższym wnioskuję, że w braku dowodu przeciwnego uwagi będące przedmiotem niniejszej sprawy w zakresie, w jakim zostały przedstawione przez skarżących i wyrażały ich „logikę i rozumowanie”, stanowiące zatem odzwierciedlenie ich „subiektywnej opinii”, „dotyczyły” w sposób konieczny wspomnianych skarżących niezależnie od celu lub skutku ich uwag.

34.

W każdym razie nawet w przypadku braku takiego domniemania w niniejszej sprawie jestem zdania, że przedmiotowe uwagi „dotyczą” skarżących ze względu na ich treść, cel i skutek.

35.

W tym względzie SRB podnosi, że argumenty oparte na celu i kontekście spornych uwag są nieskuteczne, ponieważ nie zostały zbadane w spornej decyzji, jak również są niedopuszczalne, ponieważ zawierają nowy zarzut faktyczny, a w każdym razie są błędne.

36.

Powyższa argumentacja mnie nie przekonuje. W rzeczywistości zarówno analiza przeprowadzona przez EIOD w spornej decyzji, jak i ocena dokonana przez Sąd wpisują się w kontekst prawny, który został wzięty pod uwagę i który wyraźnie wskazuje na cel i skutek przedmiotowych uwag przedstawionych w kontekście procedury dotyczącej prawa do bycia wysłuchanym. Wspomniane argumenty, odnoszące się do celu i skutku przedmiotowych uwag, są zatem skuteczne i dopuszczalne.

37.

Ponadto, co do istoty, z mających zastosowanie ram prawnych w sposób jasny wynika, że przyświecającym procedurze dotyczącej prawa do bycia wysłuchanym celem, w ramach którego przedstawiono przedmiotowe uwagi, było umożliwienie akcjonariuszom i wierzycielom, których dotyczy procedura, wniesienia swojego wkładu w to postępowanie, w szczególności aby umożliwić SRB uzyskanie wszystkich informacji niezbędnych do podjęcia ostatecznej decyzji w przedmiocie istnienia lub nieistnienia konieczności przyznania rekompensaty akcjonariuszom i wierzycielom, których dotyczy restrukturyzacja i uporządkowana likwidacja Banco Popular, zgodnie z zasadą, że żaden wierzyciel nie może być traktowany gorzej niż byłby traktowany w przypadku likwidacji w ramach standardowego postępowania upadłościowego ( 17 ). Ponadto wspomniane uwagi, po ich uwzględnieniu przez SRB, mogły mieć wpływ na interesy i prawa skarżących w zakresie rekompensaty finansowej.

38.

Stwierdzam, że przedmiotowe uwagi odnoszą się do osób, których dotyczy niniejsza sprawa, w tym ze względu na swój cel i skutek.

39.

Dodam, że oczywiście przedmiotowe uwagi, przekazane Deloitte, zostały „przefiltrowane, skategoryzowane i zsumowane”, tak iż, jak wynika z okoliczności ustalonych przez Sąd ( 18 ), nie można było rozróżnić poszczególnych uwag w ramach tego samego tematu; można jednak przyjąć, że treść zbiorczych uwag nawet po ich zsumowaniu odzwierciedla indywidualne punkty widzenia dotyczące wyceny nr 3. Są one bowiem sumą opinii stanowiących, jako takie, informacje odnoszące się do osób, które je wyraziły. Ich filtrowanie, kategoryzowanie i sumowanie pozostają bez wpływu na to stanowisko, bowiem w przeciwnym razie wystarczyłoby zsumować kilka punktów widzenia, aby ominąć warunek informacji „o” osobie fizycznej. Okoliczność, że w ramach sumy uwag nie jest możliwe rozróżnienie poszczególnych indywidualnych opinii, wydaje mi się raczej mieścić w zakresie drugiego warunku kumulatywnego, odnoszącego się do możliwości zidentyfikowania danych osób, analizowanej w kontekście części drugiej rozpatrywanego zarzutu, aniżeli warunku wymagającego, aby uwaga była „powiązana” z osobą fizyczną.

40.

W tych okolicznościach jestem zdania, że ocenę Sądu można uznać za dotkniętą naruszeniem prawa w zakresie, w jakim Sąd uznał, że EIOD nie przeprowadził kontroli wymaganej w wyroku Nowak w celu stwierdzenia, że przedmiotowe uwagi są „o” osobach fizycznych w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725.

41.

Gdyby Trybunał postanowił oddalić wspomnianą część pierwszą zarzutu i orzekł, że przedmiotowe spseudonimizowane uwagi nie odnoszą się do ich autorów, badanie części drugiej zarzutu okazałoby się zbyteczne w zakresie, w jakim zgodnie z art. 3 pkt 1 rozporządzenia 2018/1725 chodzi o warunek konieczny dla istnienia danych osobowych, mający charakter kumulatywny wobec omówionego poniżej warunku możliwości zidentyfikowania osób, których dane dotyczą.

42.

EIOD i Europejska Rada Ochrony Danych podnoszą w istocie, że Sąd popełnił dwa błędy, z których pierwszy dotyczy pojęcia „pseudonimizacji”, a drugi interpretacji wyroku Breyer ( 19 ), co kwestionują SRB i Komisja.

43.

Zarzut ten ukazuje istnienie dwóch bardzo różnych podejść do zakresu stosowania zasad ochrony danych. Czy spseudonimizowane dane powinny być uwzględniane automatycznie wyłącznie na tej podstawie, że osoby, których dane dotyczą, pozostają możliwe do zidentyfikowania, niezależnie od dostępności dodatkowych danych identyfikujących, czy też należy uznać, że po procesie pseudonimizacji dane stają się danymi osobowymi tylko dla tych podmiotów, które mogą z uzasadnionym prawdopodobieństwem zidentyfikować osoby, których dane dotyczą?

44.

EIOD i Europejska Rada Ochrony Danych zasadniczo utrzymują, że dane spseudonimizowane pozostają danymi osobowymi wyłącznie z tego powodu, że osoby, których dane dotyczą, pozostają możliwe do zidentyfikowania, ponieważ informacje umożliwiające ich identyfikację nadal istnieją. Podejście Sądu jest ich zdaniem błędne, ponieważ pozwalałoby na uznanie danych spseudonimizowanych za dane zanonimizowane w odniesieniu do odbiorcy, co stanowiłoby zagrożenie dla ochrony osób, których dane dotyczą, i prowadziłoby do pomylenia pseudonimizacji z anonimizacją. Takie podejście, które jest sprzeczne z tekstem i celem rozporządzenia 2018/1725, pozwoliłoby administratorowi danych na nieuzasadnione usunięcie danych osobowych z zakresu unijnych przepisów o ochronie danych.

45.

SRB i Komisja podnoszą z kolei, że dane spseudonimizowane pozostają danymi osobowymi dla administratora, który je spseudonimizował, ale w odniesieniu do odbiorców należy zbadać możliwość zidentyfikowania osób, których dane dotyczą. Ponadto, nawet jeśli art. 3 pkt 1 rozporządzenia 2018/1725 nie określa, kto powinien być w stanie zidentyfikować osobę, której dane dotyczą, to według SRB i Komisji, w świetle motywu 16 i w kontekście art. 15 ust. 1 lit. d) tego rozporządzenia, rozpatrywanych w niniejszej sprawie, istotny jest punkt widzenia odbiorcy. Zdaniem SRB i Komisji, jeśli ów odbiorca nie otrzymuje danych osobowych, to osoby, których dane dotyczą, nie mają interesu w uzyskaniu informacji o przekazaniu danych, ponieważ ich prawa nie zostają naruszone.

46.

Na wstępie warto przypomnieć, że pseudonimizacja jest przetwarzaniem stosowanym w odniesieniu do danych osobowych, aby – zgodnie z motywem 17 rozporządzenia 2018/1725 – „ograniczyć ryzyko” powiązania zbioru danych z tożsamością osoby, której dane dotyczą, oraz „pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych”.

47.

Artykuł 3 pkt 6 rozporządzenia 2018/1725 definiuje zatem pseudonimizację jako „przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej” ( 20 ).

48.

Pseudonimizacja nie jest zatem elementem definicji danych osobowych, które zostały zdefiniowane w art. 3 pkt 1 rozporządzenia 2018/1725 w odniesieniu do pojęcia „możliwości zidentyfikowania” osoby, której dane dotyczą. Ponadto, jak wskazała Komisja w swoich uwagach interwenienta, rozporządzenie to definiuje pojęcie „pseudonimizacji”, odnosząc się do procesu wprowadzania zabezpieczenia lub środka technicznego i organizacyjnego, ale nie do pojęcia „danych pseudonimizowanych”.

49.

Powyższą interpretację potwierdza lektura art. 3 pkt 6 w związku z motywem 16 tegoż rozporządzenia, którego pierwsze zdanie przypomina, że „[z]asady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych”.

50.

Ponadto motyw 16 rozporządzenia 2018/1725 zasługuje na dokładniejszą analizę ( 21 ). Zawiera on bowiem zdanie drugie, zgodnie z którym „[s]pseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej”. Następujące po nim zdania trzecie i czwarte precyzują treść tego wymogu dotyczącego możliwości zidentyfikowania.

51.

Z brzmienia tych przepisów wnioskuję, że w przypadku pseudonimizacji istnieje otwarta możliwość, że osoby, których dane dotyczą, nie są możliwe do zidentyfikowania, bowiem w przeciwnym razie wspomniane brzmienie motywu 16 nie miałoby racji bytu. Należy dodać, że ostatnie zdania przywołanego motywu dotyczące anonimizacji potwierdzają tę interpretację: wykluczają one dane zanonimizowane (lub te, które stały się anonimowe) z zakresu stosowania rozporządzenia 2018/1725 ( 22 ), ale wykluczają one dane spseudonimizowane tylko o tyle, o ile osoby, których dane dotyczą, nie są możliwe do zidentyfikowania. W przypadku braku możliwości zidentyfikowania tych osób są one zgodnie z prawem uważane za wystarczająco chronione przez proces pseudonimizacji, niezależnie od faktu, że dodatkowe dane identyfikacyjne nie zostały całkowicie usunięte.

52.

Innymi słowy, nie chodzi o automatyczne wyłączenie spseudonimizowanych danych z zakresu stosowania tego rozporządzenia ( 23 ). Jednakże w świetle motywu 16 owego rozporządzenia nie można wykluczyć, że takie dane mogą pod pewnymi warunkami nie być objęte pojęciem „danych osobowych”.

53.

Wbrew temu, co twierdzi EIOD, takie podejście nie wydaje mi się sprzeczne z celem, jakim jest zagwarantowanie wysokiego poziomu ochrony danych osobowych, w szczególności w świetle z jednej strony określonych w obowiązujących przepisach wymogów dotyczących możliwości zidentyfikowania, a z drugiej strony ich wykładni dokonanej przez orzecznictwo.

54.

Po pierwsze, motyw 16 rozporządzenia 2018/1725 odnosi się do możliwości zidentyfikowania przez administratora danych przez „lub inną osobę”: to szerokie pojęcie, aczkolwiek mające swoje granice ( 24 ), wpisuje się w ochronne podejście do danych osobowych.

55.

Podobnie ów motyw 16 przewiduje, że należy wziąć pod uwagę wszelkie sposoby, w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną one wykorzystane przez administratora lub przez inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej z uwzględnieniem wszelkich obiektywnych czynników, takich jak koszt i czas potrzebne do jej zidentyfikowania, a także z uwzględnieniem technologii dostępnej w momencie przetwarzania danych, jak również postępu technologicznego, co stanowi szeroką definicję chroniącą dane osobowe.

56.

Po drugie, przyjęta w orzecznictwie interpretacja pojęcia „możliwości zidentyfikowania”, koncentrująca się na ryzyku ponownej identyfikacji osób, których dane dotyczą, pozwala również na szerokie zastosowanie pojęcia „danych osobowych”. W związku z tym Trybunał systematycznie uznawał za „dane osobowe” te dane, które, mimo że są oddzielone od danych identyfikacyjnych będących w posiadaniu kogoś innego, mogą w danym kontekście powodować ryzyko ponownej identyfikacji osób, których dotyczą ( 25 ).

57.

A zatem tylko wtedy, gdy ryzyko identyfikacji nie istnieje lub jest znikome ( 26 ), określone dane mogą zgodnie z prawem uniknąć bycia uznanymi za „dane osobowe”.

58.

Argumenty EIOD oraz Europejskiej Rady Ochrony Danych dotyczące niebezpieczeństwa wynikającego ze zbyt wąskiej interpretacji danych osobowych mnie nie przekonują. Okoliczność, że zasady wynikające z rozporządzenia 2018/1725 nie mają zastosowania do danych dotyczących osób fizycznych, co do których nie ma możliwości ich identyfikacji, nie wykluczałaby bowiem w stosownych przypadkach odpowiedzialności prawnej podmiotów, które dopuściły się nagannych zachowań, na przykład w razie skutkującego zaistnieniem szkody ujawnienia danych. Natomiast nieproporcjonalne wydaje mi się nakładanie na podmiot, który nie może z uzasadnionym prawdopodobieństwem zidentyfikować osób, których dane dotyczą ( 27 ), obowiązków wynikających z rozporządzenia 2018/1725, a zatem obowiązków, których podmiot ten nie mógłby z założenia przestrzegać lub które wiązałyby się w szczególności z podjęciem próby zidentyfikowania osób, których dane dotyczą.

59.

W świetle powyższych rozważań, analizując spór w odniesieniu do danych przekazanych Deloitte, jestem zdania, że wbrew temu, co twierdzi EIOD, konieczne było ustalenie, czy pseudonimizacja przedmiotowych danych była wystarczająco mocna, aby stwierdzić, że skarżący, będący autorami informacji przekazanych Deloitte, nie byli z uzasadnionym prawdopodobieństwem możliwi do zidentyfikowania. Innymi słowy, w tym kontekście, jeżeli Deloitte dysponował odpowiednimi środkami, aby zidentyfikować wspomnianych skarżących, to można było uznać, że przetwarza on dane osobowe.

60.

Zarzut pierwszy podniesiony przez EIOD powinien zatem moim zdaniem zostać oddalony.

61.

Zdaniem EIOD, popieranego przez Europejską Radę Ochrony Danych, przedmiotowe spseudonimizowane dane są danymi osobowymi dla SRB, a zatem obowiązek dostarczenia osobom, których dane dotyczą, informacji dotyczących odbiorcy spoczywał na SRB. EIOD co do zasady podnosi, że Sąd błędnie zinterpretował wyrok Breyer, który dotyczył innej sytuacji faktycznej.

62.

Z kolei zdaniem SRB, popieranej przez Komisję, porównanie z wyrokiem Breyer jest trafne i prowadzi do wniosku, że obowiązek udzielenia informacji ma zastosowanie tylko wtedy, gdy przekazywane dane są danymi osobowymi z punktu widzenia odbiorcy, w tym przypadku Deloitte, co, jak słusznie stwierdził Sąd, nie zostało wykazane w niniejszej sprawie.

63.

Jestem zdania, że obowiązek informacyjny przewidziany w art. 15 ust. 1 lit. d) rozporządzenia 2018/1725 oraz zbieżność z wyrokiem Breyer prowadzą w niniejszej sprawie do rozstrzygnięcia odmiennego niż to przyjęte przez Sąd, co zostanie omówione w ramach analizy niniejszego zarzutu.

64.

Artykuł 4 ust. 1 lit. a) rozporządzenia 2018/1725 ustanawia wymóg przetwarzania zgodnie z prawem, rzetelnie i w sposób przejrzysty danych w odniesieniu do osoby, której dane dotyczą.

65.

W szczególności art. 15 ust. 1 lit. d) tego rozporządzenia stanowi, że jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, to „podczas pozyskiwania danych osobowych” administrator podaje jej informacje o odbiorcach danych osobowych. Wydaje się zatem, że informacja ta powinna zostać udzielona przez administratora danych niezwłocznie, czyli w momencie gromadzenia danych ( 28 ).

66.

Znaczenie poszanowania takiego obowiązku udzielenia informacji zostało również potwierdzone w motywie 35 rozporządzenia 2018/1725, zgodnie z którym zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych ( 29 ).

67.

Powyższy obowiązek udzielenia informacji jest tym bardziej istotny, że ważność zgody udzielonej przez osobę, której dane dotyczą, zależy między innymi od tego, czy osoba ta wcześniej uzyskała informacje w świetle wszystkich okoliczności związanych z przetwarzaniem danych, do których miała prawo na podstawie art. 14 i 15 rozporządzenia 2018/1725 i które umożliwiają jej wyrażenie zgody z pełną znajomością rzeczy ( 30 ).

68.

Należy dodać, że jedyny wyjątek od obowiązku informacyjnego, wynikający z art. 15 ust. 4 rozporządzenia 2018/1725, dotyczy przypadku, gdy osoba, której dane dotyczą, dysponuje już przedmiotowymi informacjami.

69.

Należy z tego wnioskować, że w tym przypadku obowiązek udzielenia informacji mieści się w ramach stosunku prawnego istniejącego między z jednej strony osobami, których dane dotyczą, zwanymi tu skarżącymi, a z drugiej strony SRB jako administratorem danych, a nie w ramach stosunku między SRB a odbiorcą, czyli Deloitte. Obowiązek udzielenia informacji dotyczy zatem danych przechowywanych przez SRB przed ich przekazaniem Deloitte. Nie jest kwestionowane, że są to dane osobowe, ponieważ SRB posiada uwagi i bazę danych identyfikacyjnych osób, które je zgłosiły.

70.

Takie oparte na „istotnym punkcie widzenia” ( 31 ) podejście prowadzi mnie zatem do rozwiązania odmiennego od tego, które przyjął Sąd, nawet jeśli porównam je z wyrokiem Breyer.

71.

Należy przypomnieć, że w sporze, który legł u podstaw pytania prejudycjalnego przedstawionego w sprawie, której dotyczył ten wyrok, P. Breyer domagał się zakazania administratorowi (Republice Federalnej Niemiec) zachowania jego dynamicznego adresu IP. Dodatkowe informacje umożliwiające jego identyfikację na podstawie adresu IP przypisanego do jego komputera nie znajdowały się w posiadaniu administratora, lecz dostawcy usług internetowych. Pytanie zmierzało zatem do ustalenia, czy dynamiczny adres IP będący w posiadaniu administratora danych może zostać uznany za „dane osobowe” a zatem, w kontekście stosunku prawnego między P. Breyerem a administratorem danych, skutkować obowiązkami w zakresie zachowania danych ciążącymi na tym ostatnim, mimo że dane identyfikacyjne P. Breyera znajdowały się w posiadaniu osoby innej niż administrator danych. Trybunał w istocie stwierdził, że administrator danych, choć nie był w posiadaniu dodatkowych informacji identyfikacyjnych, mógł z uzasadnionym prawdopodobieństwem mieć do nich dostęp, a dynamiczny adres IP został w związku z tym uznany za „dane osobowe”.

72.

W niniejszej sprawie, jak przypomniano uprzednio ( 32 ), obowiązek udzielenia informacji wpisuje się w ramy relacji między osobami, których dane dotyczą (skarżącymi), a administratorem danych (SRB): obowiązek udzielenia informacji powstaje z chwilą zebrania przez SRB przedmiotowych danych, a – w szczególności w odniesieniu do informacji o odbiorcy – najpóźniej z chwilą, gdy odbiorca jest znany. Jednakże gdy ten moment się skrystalizuje, przedmiotowe dane są danymi osobowymi w posiadaniu SRB, która dysponuje dodatkowymi danymi identyfikacyjnymi. Jeśli chodzi o przedmiotowy obowiązek udzielenia informacji i moment jego skrystalizowania, przedmiotowe dane stanowiły zatem dane osobowe, niezależnie od możliwości ich zidentyfikowania przez Deloitte, którego nie dotyczy ani stosunek prawny między skarżącymi a SRB, będący jedynym stosunkiem mającym w tym zakresie znaczenie, ani obowiązek informacyjny spoczywający na SRB.

73.

W związku z tym wydaje mi się, że paralelizm z wyrokiem Breyer wymaga spojrzenia na niniejszą sprawę z odpowiedniej perspektywy.

74.

Wynika z tego, że obowiązek udzielenia informacji spoczywał na SRB jako administratorze danych ze względu na jej relację ze skarżącymi, od których zebrała ona przedmiotowe dane, i to niezależnie od tego, czy przekazane Deloitte dane miały charakter danych osobowych, czy też nie.

75.

Argument SRB, powtórzony na rozprawie, w świetle którego istotny jest punkt widzenia odbiorcy, ponieważ ważne jest ustalenie, czy jest on, czy też nie jest „odbiorcą danych osobowych”, należy zgodnie z tą logiką odrzucić.

76.

W tym zakresie prawdą jest, że treść art. 15 ust. 1 lit. d) rozporządzenia 2018/1725, w którym jest mowa o „odbiorcach danych osobowych”, może być myląca. Jednakże skuteczność (effet utile) tego przepisu wymaga, aby informacja została przekazana osobom, których dane dotyczą, jak najwcześniej oraz przed przetworzeniem danych ( 33 ). W niniejszej sprawie, nawet jeśli SRB nie zamierzała w czasie początkowego zbierania uwag zwrócić się do Deloitte o opinię co do tego, czy uwagi te zmieniły wycenę nr 3, to ze spornej decyzji będącej przedmiotem postępowania przed Sądem wynika, że Deloitte wspierał SRB w kontekście procedury dotyczącej prawa do bycia wysłuchanym ( 34 ). Ponadto zamiar SRB przekazania spseudonimizowanych danych Deloitte może być uznany za istniejący najpóźniej w momencie podjęcia decyzji o przetwarzaniu przedmiotowych uwag właśnie w celu ich spseudonimizowania ( 35 ), ponieważ w przeciwnym razie pseudonimizacja nie miałaby żadnego uzasadnienia.

77.

Jestem zatem zdania, że kontrola przestrzegania obowiązku informacyjnego w momencie przekazania Deloitte danych przez SRB, poprzez przyjęcie punktu widzenia Deloitte jako odbiorcy w celu zaklasyfikowania bądź niezaklasyfikowania przedmiotowych danych jako danych osobowych, skutkuje przesunięciem tej kontroli w czasie. W konsekwencji kontrola ta zostałaby niesłusznie odroczona, ponieważ zostałaby przeprowadzona na podstawie danych już przekazanych odbiorcy, mimo że przedmiot obowiązku udzielenia informacji dotyczy relacji między SRB a skarżącymi i ma na celu umożliwienie tym ostatnim wyrażenia świadomej zgody przed przekazaniem danych.

78.

Ponadto, w odniesieniu do zgody skarżących, ich udział w procedurze dotyczącej prawa do bycia wysłuchanym można z pewnością interpretować jako dorozumianą zgodę na udostępnienie danych osobowych administratorowi w celu uwzględnienia ich uwag. Moim zdaniem nie jest to jednak wystarczające, aby stwierdzić, że została wyrażona świadoma zgoda na pseudonimizację danych i ich przekazanie Deloitte bez uprzedniej informacji w tym zakresie ze strony SRB ( 36 ).

79.

Wynika z tego moim zdaniem, że obowiązek SRB dostarczenia informacji miał zastosowanie w niniejszej sprawie przed przekazaniem przedmiotowych danych i niezależnie od tego, czy były one danymi osobowymi w posiadaniu Deloitte, czy też nie.

80.

A zatem okoliczność, że pseudonimizacja jest lub nie jest wystarczająco mocna i skuteczna, aby móc ustalić, czy dane w posiadaniu Deloitte stanowią czy też nie stanowią danych osobowych, ostatecznie nie wydaje mi się istotna z punktu widzenia ciążącego na SRB obowiązku udzielania informacji.

81.

W rezultacie obowiązek informacyjny spoczywający na SRB jako administratorze musiał zostać w niniejszej sprawie wykonany, a zaskarżony wyrok powinien z tej przyczyny zostać uchylony ze względu na błąd co do prawa.

82.

A zatem skoro punkt widzenia odbiorcy przedmiotowych danych nie ma znaczenia w świetle obowiązku udzielenia informacji, określonego w art. 15 ust. 1 lit. d) rozporządzenia 2018/1725, argumenty stron dotyczące możliwości zidentyfikowania przez Deloitte, za pomocą zgodnych z prawem i praktycznie wykonalnych środków, osób, których dane dotyczą, okazują się bezskuteczne, a zatem nie ma potrzeby ich badania.

83.

Gdyby Trybunał nie podzielił tego poglądu, tytułem ewentualnym podnoszę, że EIOD kwestionuje w tym zakresie stwierdzenie Sądu, zgodnie z którym Deloitte nie miał dostępu do danych identyfikujących. W szczególności opiera się on na domniemanym stosunku umownym podwykonawstwa między SRB a Deloitte. SRB i Komisja twierdzą, że w ten sposób EIOD podnosi zarzuty dotyczące nowych okoliczności faktycznych, co jest niedopuszczalne na etapie odwołania. Podzielam to stanowisko. Rzeczywiście, istnienie stosunku umownego między SRB a Deloitte, który wskazywałby na możliwość zwrócenia się przez Deloitte do SRB o zidentyfikowanie skarżących, stanowi nowy argument, co do którego zresztą Sąd w żaden sposób się nie ustosunkował. Wynika z tego, że powyższa argumentacja powinna być w stosownym przypadku odrzucona jako niedopuszczalna na podstawie art. 170 § 1 zdanie drugie regulaminu postępowania przed Trybunałem, zgodnie z którym odwołanie nie może zmieniać przedmiotu postępowania przed Sądem ( 37 ).

84.

W ramach zarzutu drugiego, dotyczącego naruszenia zasady rozliczalności określonej w art. 4 ust. 2 i w art. 26 ust. 1 rozporządzenia 2018/1725, EIOD, popierany przez Europejską Radę Ochrony Danych, twierdzi, że Sąd niesłusznie uznał, iż spoczywał na nim obowiązek wykazania, że informacje przekazane Deloitte stanowiły dane osobowe, z naruszeniem zasady rozliczalności SRB.

85.

W świetle powyższego, a w szczególności w świetle pkt 81 i 82 powyżej, uważam, że nie ma potrzeby badania wspomnianego zarzutu drugiego.

86.

Przywołam go zatem jedynie zwięźle, tytułem ewentualnym.

87.

W przedmiocie zakwestionowanej przez SRB dopuszczalności tego zarzutu, który nie został podniesiony przez Sądem, należy przypomnieć, że wnoszący odwołanie może w odwołaniu podnieść zarzuty, których źródłem był sam zaskarżony wyrok i których przedmiotem jest krytyka zasadności tego wyroku pod względem prawnym ( 38 ). Wydaje mi się, że jest tak w przypadku niniejszego zarzutu, który jest zatem dopuszczalny.

88.

Co do istoty należy przypomnieć, że Sąd orzekł, iż wobec braku zbadania przez EIOD, czy Deloitte dysponował legalnymi i praktycznie wykonalnymi środkami dostępu do dodatkowych informacji niezbędnych do ponownej identyfikacji skarżących, EIOD nie mógł stwierdzić, że informacje przesłane Deloitte stanowiły informacje dotyczące „możliwej do zidentyfikowania osoby fizycznej” w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725.

89.

EIOD, wspierany przez Europejską Radę Ochrony Danych, twierdzi zasadniczo, że Sąd powinien był ustalić, czy SRB, będąca administratorem danych, wykazała, że dokonała anonimizacji spornych danych w odniesieniu do Deloitte.

90.

SRB kwestionuje powyższą argumentację, podnosząc, że zasada rozliczalności ma zastosowanie tylko w przypadku danych osobowych, a w niniejszej sprawie dane znajdujące się w posiadaniu Deloitte zostały zanonimizowane.

91.

Komisja z kolei podnosi, że w pierwszej kolejności na EIOD spoczywał ciężar racjonalnego udowodnienia, polegający na wykazaniu, na podstawie dostępnych dowodów, istnienia danych osobowych. W drugiej kolejności do zainteresowanego administratora danych należy obalenie tego ustalenia poprzez przedstawienie dodatkowych dowodów.

92.

Należy przypomnieć, że zgodnie z art. 4 ust. 1 lit. a) rozporządzenia 2018/1725 dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Artykuł 4 ust. 2 tego rozporządzenia stanowi, że „[a]dministrator jest odpowiedzialny za przestrzeganie ust. 1 i musi być w stanie wykazać jego przestrzeganie”. Z zasady rozliczalności ustanowionej w art. 4 ust. 2 i doprecyzowanej w art. 26 ust. 1 wspomnianego rozporządzenia wynika, że administrator danych musi być w stanie wykazać przestrzeganie każdej z zasad dotyczących przetwarzania danych osobowych określonych w art. 4 ust. 1 ( 39 ).

93.

Jeżeli administrator dostarczyłby wystarczające dowody w tym zakresie, można by było uznać, że wykonał on ciążący na nim obowiązek przedstawienia dowodów ( 40 ).

94.

W niniejszej sprawie wydaje mi się, że SRB przywołała szereg okoliczności faktycznych (w szczególności procesy filtrowania, kategoryzowania i sumowania uwag opisane w spornej decyzji i w zaskarżonym wyroku), aby udowodnić, zgodnie z ciążącą na niej zasadą rozliczalności, że Deloitte nie mógł zidentyfikować osób, których dotyczy postępowanie.

95.

Przed Sądem EIOD zajął w tym względzie stanowisko, co do zasady biorąc pod uwagę punkt widzenia SRB, a nie Deloitte, a tym samym uznając uwagi przekazane Deloitte za „dane osobowe”.

96.

Jeśli dla potrzeb analizy niniejszego zarzutu tytułem ewentualnym przyjmiemy, że punkt widzenia Deloitte był istotny w sprawie ( 41 ), to można uznać, jak orzekł Sąd, że do EIOD należało wykazanie ( 42 ), z jakiego powodu – prawnego lub technicznego – proces pseudonimizacji wdrożony w niniejszej sprawie przez CRB nie był wystarczający, i należało uznać, że Deloitte przetwarzał dane osobowe.

97.

Z tego względu uważam, że w takim przypadku zaskarżony wyrok powinien zostać utrzymany w mocy w odniesieniu do tego drugiego zarzutu.

98.

W świetle art. 61 akapit pierwszy statutu Trybunału Sprawiedliwości Unii Europejskiej, jeśli odwołanie jest zasadne, Trybunał uchyla orzeczenie Sądu. Może on wydać orzeczenie ostateczne w sprawie, jeśli stan postępowania na to pozwala, lub skierować sprawę do ponownego rozpoznania przez Sąd.

99.

Zarzut pierwszy podniesiony przez SRB wobec spornej decyzji będącej przedmiotem postępowania przed Sądem jest oparty na naruszeniu art. 3 pkt 1 rozporządzenia 2018/1725. Z pkt 63–82 niniejszej opinii wynika, że skoro SRB naruszyła obowiązek informacyjny, który na niej spoczywał na podstawie art. 15 ust. 1 lit. d) rozporządzenia 2018/1725, to sporna decyzja powinna moim zdaniem zostać utrzymana w mocy.

100.

Z kolei nie wydaje mi się możliwe rozpatrzenie w toku orzekania zarzutu drugiego, dotyczącego naruszenia przez EIOD prawa do dobrej administracji w ramach postępowania, które doprowadziło do wydania spornej decyzji.

101.

SRB podnosi bowiem w szczególności, że w ramach postępowania administracyjnego poprzedzającego przyjęcie spornej decyzji EIOD naruszył prawo dostępu do akt, prawo do bycia wysłuchanym, jak również zasadę równości stron, z jednej strony odmawiając jej dostępu do akt, a z drugiej strony nie przekazując jej uwag skarżących lub treści tych uwag.

102.

W związku z tym Sąd stwierdził, że z uwagi na fakt, iż zarzut pierwszy skargi został uwzględniony, nie zachodziła konieczność badania podniesionego przed nim zarzutu drugiego. W rezultacie zarzut drugi, który w szczególności obejmuje ocenę stanu faktycznego, nie może być przedmiotem orzekania. Z tego względu wydaje mi się, że sprawa powinna zostać przekazana Sądowi do ponownego rozpoznania, z zastrzeżeniem, że rozstrzygnięcie o kosztach nastąpi w wyroku kończącym postępowanie w sprawie.

103.

W świetle powyższych rozważań proponuję, aby Trybunał: