1

W odwołaniu Europejski Inspektor Ochrony Danych (EIOD) wnosi o uchylenie wyroku Sądu Unii Europejskiej z dnia 26 kwietnia 2023 r., SRB/EIOD (T‑557/20, zwanego dalej „zaskarżonym wyrokiem”, EU:T:2023:219), w którym Sąd stwierdził nieważność zmienionej decyzji EIOD z dnia 24 listopada 2020 r., wydanej w następstwie złożonego przez Jednolitą Radę ds. Restrukturyzacji i Uporządkowanej Likwidacji (SRB) wniosku o ponowne rozpatrzenie sprawy zakończonej decyzją EIOD z dnia 24 czerwca 2020 r. w sprawie pięciu skarg złożonych przez wielu skarżących (sprawy 2019‑947, 2019‑998, 2019‑999, 2019‑1000 i 2019‑1122) (zwanej dalej „sporną decyzją”).

2

Motywy 5, 16, 17 i 35 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. 2018, L 295, s. 39) mają następujące brzmienie:

[…]

[…]

3

Artykuł 3 rozporządzenia 2018/1725, zatytułowany „Definicje”, przewiduje w pkt 1, 6, 8 i 13:

„Do celów niniejszego rozporządzenia stosuje się następujące definicje:

[…]

[…]

[…]

4

Artykuł 4 tego rozporządzenia, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi w ust. 2:

„Administrator jest odpowiedzialny za przestrzeganie ust. 1 i musi być w stanie wykazać jego przestrzeganie (»rozliczalność«)”.

5

Artykuł 14 tego rozporządzenia, zatytułowany „Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą”, stanowi w ust. 1:

„Administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji dotyczących przetwarzania, o których mowa w art. 15 i 16, oraz przekazać jej wszelkie komunikaty na ten temat na mocy art. 17–24 i 35. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą”.

6

Artykuł 15 tego rozporządzenia, zatytułowany „Informacje podawane w przypadku zbierania danych osobowych od osoby, której dane dotyczą”, stanowi:

„1.   Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

[…]

[…]

2.   Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

[…]

[…]”.

7

Artykuł 24 rozporządzenia 2018/1725 określa warunki, w jakich podstawą decyzji podejmowanych w indywidualnych przypadkach może być zautomatyzowane przetwarzanie, w tym profilowanie.

8

Artykuł 26 tego rozporządzenia, zatytułowany „Obowiązki administratora”, przewiduje w ust. 1:

„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.

9

Okoliczności powstania sporu zostały przedstawione w pkt 2–32 zaskarżonego wyroku i można je streścić w następujący sposób.

10

W dniu 7 czerwca 2017 r. podczas sesji wykonawczej SRB przyjęła decyzję SRB/EES/2017/08 w sprawie programu restrukturyzacji i uporządkowanej likwidacji w odniesieniu do Banco Popular Español, SA na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 806/2014 z dnia 15 lipca 2014 r. ustanawiającego jednolite zasady i jednolitą procedurę restrukturyzacji i uporządkowanej likwidacji instytucji kredytowych i niektórych firm inwestycyjnych w ramach jednolitego mechanizmu restrukturyzacji i uporządkowanej likwidacji oraz jednolitego funduszu restrukturyzacji i uporządkowanej likwidacji oraz zmieniającego rozporządzenie (UE) nr 1093/2010 (Dz.U. 2014, L 225, s. 1) (zwanego dalej „rozporządzeniem o jednolitym mechanizmie restrukturyzacji i uporządkowanej likwidacji”).

11

W decyzji tej SRB, uznając, że warunki określone w art. 18 ust. 1 rozporządzenia o jednolitym mechanizmie restrukturyzacji i uporządkowanej likwidacji zostały spełnione, postanowiła objąć Banco Popular Español SA (zwany dalej „Banco Popular”) procedurą restrukturyzacji i uporządkowanej likwidacji. SRB podjęła zatem decyzję o umorzeniu i konwersji instrumentów kapitałowych Banco Popular na podstawie art. 21 tego rozporządzenia oraz o zastosowaniu instrumentu zbycia działalności na podstawie art. 24 wspomnianego rozporządzenia poprzez przeniesienie akcji na nabywcę.

12

W tym samym dniu Komisja Europejska przyjęła decyzję (UE) 2017/1246 zatwierdzającą program restrukturyzacji i uporządkowanej likwidacji Banco Popular Español SA (Dz.U. 2017, L 178, s. 15).

13

W następstwie restrukturyzacji i uporządkowanej likwidacji spółka audytorska Deloitte otrzymała od SRB zlecenie na sporządzenie, przewidzianej w art. 20 ust. 16–18 rozporządzenia o jednolitym mechanizmie restrukturyzacji i uporządkowanej likwidacji, wyceny różnicy w traktowaniu w celu ustalenia, czy akcjonariusze i wierzyciele Banco Popular zostaliby lepiej potraktowani, gdyby Banco Popular został poddany standardowemu postępowaniu upadłościowemu (zwanej dalej „wyceną 3”). W dniu 14 czerwca 2018 r. przekazała ona tę wycenę SRB.

14

W dniu 6 sierpnia 2018 r. SRB opublikowała na swojej stronie internetowej komunikat z dnia 2 sierpnia 2018 r. dotyczący wstępnej decyzji w sprawie konieczności przyznania rekompensaty akcjonariuszom i wierzycielom, w stosunku do których zastosowano działania w ramach restrukturyzacji i uporządkowanej likwidacji Banco Popular Español, SA, i wszczęcia postępowania dotyczącego prawa do bycia wysłuchanym (SRB/EES/2018/132) (zwanej dalej „decyzją wstępną”), a także jawną wersję wyceny 3. W dniu 7 sierpnia 2018 r. w Dzienniku Urzędowym Unii Europejskiej opublikowano ogłoszenie dotyczące tego komunikatu (Dz.U. 2018, C 277 I, s. 1).

15

W decyzji wstępnej SRB wskazała, że aby móc podjąć ostateczną decyzję w sprawie konieczności przyznania akcjonariuszom i wierzycielom, na których sytuację oddziaływała restrukturyzacja i uporządkowana likwidacja Banco Popular (zwanym dalej „akcjonariuszami i wierzycielami”), rekompensaty na podstawie art. 76 ust. 1 lit. e) rozporządzenia o jednolitym mechanizmie restrukturyzacji i uporządkowanej likwidacji, wezwała ich do wyrażenia interesu w skorzystaniu z prawa do bycia wysłuchanym na podstawie art. 41 ust. 2 lit. a) Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą”).

16

Zgodnie ze wskazówkami zawartymi w decyzji wstępnej postępowanie dotyczące prawa do bycia wysłuchanym miało przebiegać w dwóch etapach.

17

Na pierwszym etapie (zwanym dalej „fazą rejestracji”) akcjonariusze i wierzyciele zostali wezwani do wyrażenia interesu w wykonaniu prawa do bycia wysłuchanym za pomocą internetowego formularza zgłoszeniowego do dnia 14 września 2018 r. W fazie rejestracji akcjonariusze i wierzyciele zamierzający skorzystać z prawa do bycia wysłuchanym powinni byli przedstawić SRB dokumenty potwierdzające, że w dniu restrukturyzacji i uporządkowanej likwidacji posiadali jeden lub kilka instrumentów kapitałowych Banco Popular, które zostały umorzone lub poddane konwersji i zostały przeniesione na Banco Santander SA w ramach restrukturyzacji i uporządkowanej likwidacji. Dokumenty, które należało przedłożyć, obejmowały dokument tożsamości i dowód własności jednego z tych instrumentów kapitałowych na dzień 6 czerwca 2017 r. Następnie SRB powinna była sprawdzić, czy każda osoba, która wyraziła swój interes w byciu wysłuchanym, rzeczywiście miała status akcjonariusza lub wierzyciela.

18

W dniu 6 sierpnia 2018 r., w momencie rozpoczęcia fazy rejestracji, SRB opublikowała również na stronie internetowej, na której należało dokonać zgłoszenia do udziału w postępowaniu dotyczącym wykonania prawa do bycia wysłuchanym, i na własnej stronie internetowej oświadczenie o ochronie prywatności (zwane dalej „oświadczeniem o ochronie prywatności”).

19

Na drugim etapie (zwanym dalej „fazą konsultacji”) akcjonariusze i wierzyciele, których status został zweryfikowany przez SRB, mogli przedstawić swoje uwagi na temat decyzji wstępnej, do której załączono wycenę 3. W dniu 16 października 2018 r. SRB ogłosiła na swojej stronie internetowej, że od dnia 6 listopada 2018 r. w trakcie fazy konsultacji akcjonariusze i wierzyciele będą wzywani do przedstawienia pisemnych uwag w przedmiocie decyzji wstępnej.

20

W dniu 6 listopada 2018 r. za pośrednictwem poczty elektronicznej SRB przesłała akcjonariuszom i wierzycielom spersonalizowany link umożliwiający im internetowy dostęp do formularza, który zawierał siedem pytań, z ograniczonym miejscem na odpowiedź, umożliwiający akcjonariuszom i wierzycielom przedstawienie przed dniem 26 listopada 2018 r. uwag na temat decyzji wstępnej oraz jawnej wersji wyceny 3.

21

SRB przeanalizowała mające znaczenie dla sprawy uwagi akcjonariuszy i wierzycieli dotyczące decyzji wstępnej. Zwróciła się ona do Deloitte, jako niezależnego rzeczoznawcy, o ocenę odpowiednich uwag do wyceny 3, o przedstawienie jej dokumentu zawierającego ocenę oraz o zbadanie, czy wycena 3 pozostaje ważna w świetle tych uwag.

22

Dane zebrane w fazie rejestracji, mianowicie dowody tożsamości akcjonariuszy i wierzycieli i dowody własności umorzonych lub poddanych konwersji instrumentów kapitałowych Banco Popular, konwersji i przekazania, były dostępne ograniczonej liczbie pracowników SRB, mianowicie pracownikom odpowiedzialnym za przetwarzanie tych danych w celu ustalenia, czy ci akcjonariusze i wierzyciele kwalifikowali się do rekompensaty.

23

Pracownicy SRB odpowiedzialni za przetwarzanie uwag otrzymanych w fazie konsultacji nie mieli dostępu ani do danych zgromadzonych w fazie rejestracji, wobec czego uwagi te nie były skorelowane z informacjami osobowymi akcjonariuszy i wierzycieli, którzy je przedłożyli, ani do klucza danych lub informacji umożliwiających ustalenie tożsamości akcjonariusza lub wierzyciela za pomocą niepowtarzalnego kodu alfanumerycznego przypisanego do każdej uwagi złożonej za pomocą formularza. Ów kod alfanumeryczny składał się z uniwersalnego identyfikatora o 33 cyfrach, wygenerowanego losowo w momencie otrzymania odpowiedzi na formularz.

24

Na pierwszym etapie SRB przeprowadziła automatyczne filtrowanie 23822 uwag, z których każda zawierała niepowtarzalny kod alfanumeryczny, przedłożonych przez 2855 uczestników postępowania. Dwa algorytmy pozwoliły zidentyfikować 20101 uwag jako identyczne. W takim wypadku uwagę przedstawioną jako pierwszą uznawano za uwagę oryginalną, którą następnie badano w fazie analizy, a uwagi identyczne otrzymane później zostały zidentyfikowane jako duplikaty.

25

Na drugim etapie SRB wskazała te z przedłożonych uwag, które wchodziły w zakres postępowania dotyczącego prawa do bycia wysłuchanym, o ile mogły mieć wpływ na decyzję wstępną lub wycenę 3. Następnie podzieliła ona te uwagi na te, które SRB powinna zbadać w zakresie, w jakim dotyczyły decyzji wstępnej, i te, które miały zostać zbadane przez Deloitte w zakresie, w jakim dotyczyły wyceny 3. Po zakończeniu tego etapu SRB zidentyfikowała 3730 uwag, które skatalogowała w zależności od ich znaczenia dla sprawy i ich tematu.

26

Na trzecim etapie SRB przetwarzała uwagi dotyczące decyzji wstępnej, a uwagi dotyczące wyceny 3 – w liczbie 1104 – zostały w dniu 17 czerwca 2019 r. przekazane Deloitte za pośrednictwem zabezpieczonego wirtualnego serwera danych dedykowanego SRB. SRB ściągnęła pliki, które miały zostać przekazane Deloitte, umieściła je na tym serwerze i udzieliła do nich dostępu ograniczonej i kontrolowanej liczbie pracowników Deloitte, mianowicie osobom bezpośrednio zaangażowanym w analizę uwag dotyczących wyceny 3.

27

Komentarze przekazane Deloitte zostały przefiltrowane, podzielone na kategorie i zsumowane. Ponieważ stanowiły one kopie wcześniejszych uwag, tylko jedna wersja została przekazana Deloitte, tak że w ramach tego samego tematu nie można było wyróżnić poszczególnych, stanowiących repliki uwag, a Deloitte nie miała możliwości ustalenia, czy uwaga została sformułowana przez jednego czy przez kilku uczestników postępowania dotyczącego prawa do bycia wysłuchanym.

28

Uwagi przekazane Deloitte były wyłącznie uwagami uzyskanymi w fazie konsultacji i opatrzonymi kodem alfanumerycznym. Niemniej wyłącznie SRB mogła za pomocą tego kodu powiązać uwagi z danymi, w szczególności danymi identyfikacyjnymi autorów uwag otrzymanymi w fazie rejestracji. Kod alfanumeryczny opracowano do celów audytu, aby umożliwić weryfikację i ewentualne wykazanie a posteriori, że każdy komentarz został przeanalizowany i należycie uwzględniony. Deloitte nie miała dostępu do bazy danych zebranych w fazie rejestracji ani w toku postępowania dotyczącego prawa do bycia wysłuchanym i nie miała do niej dostępu również w dniu ogłoszenia zaskarżonego wyroku.

29

W październiku i grudniu 2019 r. akcjonariusze i wierzyciele, którzy wypełnili formularz, złożyli do EIOD pięć skarg na podstawie rozporządzenia 2018/1725. W skargach tych powołali się oni na naruszenie art. 15 ust. 1 lit. d) tego rozporządzenia, ponieważ SRB nie poinformowała ich, iż dane zgromadzone za pomocą odpowiedzi na formularz zostaną przekazane osobom trzecim, mianowicie Deloitte i Banco Santander, z naruszeniem treści oświadczenia o ochronie prywatności.

30

W wyniku przeprowadzonego postępowania, w toku którego wezwana przez EIOD SRB przedstawiła różne wyjaśnienia, a skarżący przedstawili uwagi, EIOD w dniu 24 czerwca 2020 r. przyjął decyzję w sprawie pięciu skarg złożonych przez szereg skarżących przeciwko Jednolitej Radzie ds. Restrukturyzacji i Uporządkowanej Likwidacji (sprawy 2019‑947, 2019‑998, 2019‑999, 2019‑1000 i 2019‑1122) (zwaną dalej „pierwotną decyzją”). W decyzji tej EIOD uznał, że SRB naruszyła art. 15 rozporządzenia 2018/1725, ponieważ w oświadczeniu o ochronie prywatności nie powiadomiła skarżących o możliwości przekazania Deloitte ich danych osobowych. W związku z tym EIOD wezwał SRB do usunięcia tego naruszenia na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2018/1725.

31

W dniu 22 lipca 2020 r. SRB zwróciła się do EIOD o ponowne rozpatrzenie sprawy zakończonej pierwotną decyzją na podstawie art. 18 ust. 1 decyzji Europejskiego Inspektora Ochrony Danych z dnia 15 maja 2020 r. w sprawie przyjęcia regulaminu wewnętrznego EIOD (Dz.U. 2020, L 204, s. 49). SRB dostarczyła między innymi szczegółowego opisu postępowania dotyczącego wykonania prawa do bycia wysłuchanym i analizę uwag przedstawionych w fazie konsultacji przez czterech zidentyfikowanych skarżących. Podniosła ona, że informacje przekazane Deloitte nie stanowiły danych osobowych w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725.

32

W dniu 5 sierpnia 2020 r. EIOD poinformował SRB, że w świetle przedstawionych nowych informacji postanowił on ponownie rozpatrzyć sprawę zakończoną pierwotną decyzję oraz że wydać decyzję, która ją zastąpi.

33

W dniu 24 listopada 2020 r., w wyniku ponownego badania sprawy – w toku którego skarżący przedstawili swoje uwagi, a SRB na żądanie EIOD przekazała dodatkowe informacje – EIOD wydał sporną decyzję.

34

W decyzji tej EIOD zmienił pierwotną decyzję w następujący sposób:

35

Pismem złożonym w sekretariacie Sądu w dniu 1 września 2020 r. SRB wniosła skargę, po pierwsze, o stwierdzenie nieważności spornej decyzji, a po drugie, o stwierdzenie niezgodności z prawem decyzji pierwotnej.

36

Na poparcie pierwszego żądania skargi SRB podniosła dwa zarzuty, z których pierwszy dotyczył naruszenia art. 3 pkt 1 rozporządzenia 2018/1725 w zakresie, w jakim informacje przekazane Deloitte nie stanowiły danych osobowych, a drugi – naruszenia prawa do dobrej administracji ustanowionego w art. 41 Karty.

37

W zaskarżonym wyroku Sąd z powodu braku właściwości odrzucił drugie żądanie skargi o stwierdzenie niezgodności z prawem pierwotnej decyzji w zakresie, w jakim SRB zmierzała do uzyskania wyroku deklaratoryjnego, a nie do stwierdzenia nieważności aktu.

38

Natomiast żądanie pierwsze skargi Sąd uznał za dopuszczalne. Co do istoty, Sąd uwzględnił zarzut pierwszy skargi i stwierdził nieważność spornej decyzji, nie badając zarzutu drugiego skargi.

39

Postanowieniem prezesa Trybunału z dnia 20 października 2023 r. Komisja została dopuszczona do sprawy w charakterze interwenienta popierającego żądania SRB. Postanowieniem prezesa Trybunału z dnia 29 listopada 2023 r. Europejska Rada Ochrony Danych została dopuszczona do sprawy w charakterze interwenienta popierającego żądania EIOD.

40

EIOD, popierany przez Europejską Radę Ochrony Danych, wnosi do Trybunału o:

41

SRB, popierana przez Komisję, wnosi do Trybunału o:

42

W uzasadnieniu odwołania EIOD, popierany przez Europejską Radę Ochrony Danych, podnosi dwa zarzuty, z których pierwszy dotyczy naruszenia art. 3 pkt 1 i 6 rozporządzenia 2018/1725 zgodnie z jego wykładnią dokonaną przez Trybunał, a drugi – naruszenia art. 4 ust. 2 i art. 26 ust. 1 tego rozporządzenia.

43

W zarzucie pierwszym EIOD podnosi w istocie, że orzekając, iż EIOD błędnie rozstrzygnął w spornej decyzji, że informacje rozpatrywane w niniejszej sprawie stanowią dane osobowe, Sąd naruszył prawo przy dokonywaniu wykładni art. 3 pkt 1 i 6 rozporządzenia 2018/1725. Zarzut ten składa się z dwóch części. Część pierwsza dotyczy przesłanki z art. 3 pkt 1 tego rozporządzenia, zgodnie z którą dane osobowe oznaczają informacje „o” osobie fizycznej, a część druga dotyczy przesłanki przewidzianej w tym samym przepisie, która odnosi się do pojęcia „możliwej do zidentyfikowania” osoby.

44

W części pierwszej zarzutu pierwszego EIOD podnosi, że wbrew temu, co orzekł Sąd w pkt 60–74 zaskarżonego wyroku, informacje przekazane Deloitte dotyczyły osoby fizycznej w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725.

45

W pierwszej kolejności EIOD twierdzi, że wbrew temu, co wynika z pkt 70 zaskarżonego wyroku, na organach odpowiedzialnych za ochronę danych nie mogły spoczywać obowiązki każdorazowego badania treści, celu lub skutku informacji w celu sprawdzenia, czy dotyczy ona osoby fizycznej. Zdaniem EIOD takiego badania nie można było w szczególności wymagać w odniesieniu do uwag przekazanych Deloitte przez SRB, ponieważ jego zdaniem było jasne, że są to uwagi „o” osobie fizycznej w zakresie, w jakim wyrażają one osobisty punkt widzenia niektórych wierzycieli i akcjonariuszy Banco Popular w przedmiocie ich ewentualnego prawa do rekompensaty na podstawie art. 76 ust. 1 lit. e) rozporządzenia o jednolitym mechanizmie restrukturyzacji i uporządkowanej likwidacji

46

W drugiej kolejności, wbrew tezie zawartej w pkt 71 zaskarżonego wyroku, EIOD twierdzi, że podstawą dla stwierdzenia, iż rozpatrywane informacje stanowiły dane osobowe, był nie tylko charakter uwag przekazanych Deloitte, ale również okoliczność, że spółce tej został przekazany także kod alfanumeryczny.

47

W trzeciej kolejności EIOD podnosi, że zaskarżony wyrok jest wewnętrznie sprzeczny, ponieważ Sąd z jednej strony wskazał w pkt 7 tego wyroku, że samym celem uwag przekazanych Deloitte było umożliwienie konkretnym osobom fizycznym, mianowicie akcjonariuszom i wierzycielom, wykonania przysługującego im prawa do bycia wysłuchanym w celu uzyskania ewentualnej rekompensaty na podstawie art. 76 ust. 1 lit. e) rozporządzenia o jednolitym mechanizmie restrukturyzacji i uporządkowanej likwidacji. Z drugiej jednak strony, i wbrew temu pierwszemu ustaleniu, Sąd orzekł w pkt 73 wspomnianego wyroku, że EIOD oparł się na domniemaniach, jakoby wszystkie uwagi przekazane Deloitte stanowiły dane osobowe, nie wykazując, iż były to informacje o osobach fizycznych.

48

SRB, popierana przez Komisję, podnosi, że argumentację tę należy oddalić.

49

W pierwszej kolejności, zgodnie z orzecznictwem wynikającym z wyroków z dnia 20 grudnia 2017 r., Nowak (C‑434/16, EU:C:2017:994, pkt 34, 35), i z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF (C‑487/21, EU:C:2023:369, pkt 23, 24), informacje, obiektywne lub subiektywne, w postaci opinii lub ocen, mogą stanowić dane osobowe, pod warunkiem że „dotyczą” one danej osoby. Poza tym zgodnie z tym orzecznictwem informacja dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli ze względu na swą treść, cel czy skutek informacja ta jest powiązana z możliwą do zidentyfikowania osobą. Tak więc w pkt 70–74 zaskarżonego wyroku Sąd słusznie orzekł, że EIOD naruszył to orzecznictwo, ograniczając się do wskazania, iż uwagi przekazane Deloitte odzwierciedlały opinie lub stanowiska akcjonariuszy i wierzycieli, a zatem bez zbadania, czy ze względu na swoją treść, cel lub skutek uwagi te były związane z możliwą do zidentyfikowania osobą.

50

W drugiej kolejności twierdzenie EIOD, zgodnie z którym to, że wspomniane uwagi miały charakter danych osobowych, wynika siłą rzeczy z ich celu, stanowi nowe twierdzenie dotyczące okoliczności faktycznych, przedstawione po raz pierwszy przed sądem odwoławczym, które z tego względu jest niedopuszczalne. W każdym razie twierdzenie to pozostaje bez znaczenia dla sprawy, ponieważ EIOD nie zbadał tej kwestii w spornej decyzji.

51

Co się tyczy w trzeciej kolejności podnoszonej sprzeczności pomiędzy pkt 7 i 73 uzasadnienia zaskarżonego wyroku, SRB podnosi, że opis zawarty w pkt 7 tego wyroku nie zawiera żadnej informacji na temat treści, celu lub skutku uwag przekazanych Deloitte, a zatem nie stoi w sprzeczności z wnioskiem zawartym w pkt 73 tego wyroku.

52

Na wstępie należy zauważyć, że definicja pojęcia „danych osobowych” zawarta w art. 3 pkt 1 rozporządzenia 2018/1725 jest zasadniczo identyczna z definicją zawartą w art. 4 pkt 1 RODO, która ma z kolei zakres identyczny z definicją zawartą w art. 2 lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31). W celu zapewnienia jednolitego i spójnego stosowania prawa Unii należy zatem zapewnić identyczną wykładnię art. 3 pkt 1 rozporządzenia 2018/1725, art. 4 pkt 1 RODO i art. 2 lit. a) dyrektywy 95/46 (zob. podobnie wyroki z dnia 7 marca 2024 r.: OC/Komisja, C‑479/22 P, EU:C:2024:215, pkt 43; a także IAB Europe, C‑604/22, EU:C:2024:214, pkt 33 i przytoczone tam orzecznictwo).

53

Artykuł 3 pkt 1 rozporządzenia 2018/1725 przewiduje, że dane osobowe stanowią „[wszelkie] informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”.

54

Trybunał orzekł, że użycie wyrażenia „wszelkie informacje” w definicji „danych osobowych” zawartej w tym przepisie i w art. 4 pkt 1 RODO odzwierciedla przyświecający prawodawcy Unii zamiar przypisania temu pojęciu szerokiego zakresu, rozszerzającego je potencjalnie o informacje wszelkiego rodzaju, zarówno obiektywne, jak i subiektywne, w postaci opinii czy oceny, pod warunkiem że „dotyczą” one danej osoby (wyroki: z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 23 i przytoczone tam orzecznictwo; z dnia 7 marca 2024 r., OC/Komisja, C‑479/22 P, EU:C:2024:215, pkt 45; a także z dnia 4 października 2024 r., Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, pkt 130).

55

Informacja dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, jeżeli ze względu na swą treść, cel czy skutek informacja ta jest powiązana z możliwą do zidentyfikowania osobą (wyroki: z dnia 20 grudnia 2017 r., Nowak, C‑434/16, EU:C:2017:994, pkt 35; z dnia 7 marca 2024 r.: OC/Komisja, C‑479/22 P, EU:C:2024:215, pkt 45; a także IAB Europe, C‑604/23, EU:C:2024:214, pkt 37 i przytoczone tam orzecznictwo).

56

W niniejszej sprawie, chociaż Sąd wskazał w pkt 70 zaskarżonego wyroku, że EIOD nie zbadał ani treści, ani celu, ani skutków informacji wynikających z uwag przekazanych Deloitte, to jednak z pkt 71 i 72 tego wyroku wynika, że ustalenie, iż uwagi te odzwierciedlają opinie lub stanowiska zainteresowanych osób, wymagało uprzedniego zbadania przez EIOD treści tych uwag. Na podstawie tego ustalenia EIOD doszedł do wniosku, że uwagi te stanowią informacje dotyczące tych osób. Tymczasem zgodnie z orzecznictwem przypomnianym w pkt 55 niniejszego wyroku badanie dotyczące treści informacji nie musi być koniecznie uzupełnione analizą celu i skutków tej informacji, na co wskazuje użycie spójnika „lub” łączącego różne kryteria, o których mowa w tym orzecznictwie.

57

Jednakże w pkt 73 i 74 zaskarżonego wyroku Sąd uznał, że EIOD nie mógł zakwalifikować informacji wynikających z uwag przekazanych Deloitte jako danych osobowych wyłącznie na podstawie ustalenia, że uwagi te dotyczyły osobistych opinii lub stanowisk, lecz powinien był zbadać ponadto treść, cel i skutki wyrażonych w ten sposób opinii w celu ustalenia, czy były one powiązane z konkretną osobą.

58

Ta ocena Sądu nie uwzględnia szczególnego charakteru osobistych opinii lub stanowisk, które jako wyraz myśli danej osoby są z tą osobą siłą rzeczy ściśle związane.

59

Wykładnię przyjętą w poprzednim punkcie potwierdza orzecznictwo wynikające z wyroku z dnia 20 grudnia 2017 r., Nowak (C‑434/16, EU:C:2017:994), który dotyczył między innymi naniesionych przez egzaminatora komentarzy do odpowiedzi kandydata zdającego pisemny egzamin zawodowy. O ile bowiem w pkt 42–44 tego wyroku Trybunał ocenił treść, cel i skutek tych komentarzy, aby stwierdzić, że stanowią one informacje o kandydacie, którego dotyczą, o tyle uznał on w istocie, że wspomniane komentarze dotyczyły również egzaminatora będącego ich autorem, ponieważ wyrażały one jego opinię lub ocenę.

60

Wynika stąd, że Sąd naruszył prawo, orzekając w pkt 73 i 74 zaskarżonego wyroku, że aby stwierdzić, iż informacje wynikające z uwag przekazanych Deloitte były informacjami – w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725 – „o” osobach, które przedłożyły te uwagi, EIOD powinien był zbadać treść, cel lub skutki tych uwag, ponieważ bezsporne było, że wyrażały one osobistą opinię lub stanowisko ich autorów.

61

W konsekwencji, bez konieczności badania argumentów streszczonych w pkt 46 i 47 niniejszego wyroku, część pierwszą zarzutu pierwszego należy uwzględnić.

62

W części drugiej zarzutu pierwszego EIOD podnosi, że w pkt 76–106 zaskarżonego wyroku Sąd błędnie orzekł, iż nie mógł on uznać, że informacje wynikające z uwag przekazanych Deloitte są o „możliwej do zidentyfikowania” osobie fizycznej w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725. Część ta składa się z dwóch odrębnych zarzutów szczegółowych.

63

Przede wszystkim EIOD przypomina, że zgodnie z art. 3 pkt 1 rozporządzenia 2018/1725 administrator lub „inna osoba” muszą być w stanie zidentyfikować osobę, której dotyczą rozpatrywane informacje. Wobec braku jakichkolwiek wskazówek co do tego, kto powinien być w stanie dokonać takiej identyfikacji, wystarczyłoby, gdyby osoba, której dane dotyczą, mogła zostać zidentyfikowana. Tymczasem w niniejszej sprawie bezsporne jest, że przekazane Deloitte uwagi, którymi dysponowała SRB, stanowią dane osobowe. Ponadto z art. 3 pkt 6 tego rozporządzenia w związku z jego motywem 16 wynika, że spseudonimizowane dane stanowią dane osobowe, i to po prostu ze względu na istnienie dodatkowych informacji pozwalających na przypisanie ich konkretnej osobie.

64

Zdaniem EIOD rozważania zawarte w pkt 90 i 91 zaskarżonego wyroku nie uwzględniają w wystarczającym stopniu brzmienia tych przepisów oraz rozróżnienia między anonimizacją a pseudonimizacją. W tym względzie Europejska Rada Ochrony Danych wyjaśnia, że zgodnie z wykładnią przyjętą przez Sąd charakter danych osobowych zmieniłby się w przypadku przekazania ich podmiotowi zewnętrznemu wobec administratora, który nie posiada dodatkowych informacji niezbędnych do zidentyfikowania osoby, której dane dotyczą. Ta wykładnia pozwoliłaby takiemu administratorowi na nienależne wyłączenie danych osobowych z zakresu stosowania prawa Unii w dziedzinie ochrony takich danych, i to nawet wówczas, gdy przetwarzanie przez podmiot zewnętrzny narażałoby osoby, których dane dotyczą, na poważne ryzyko.

65

Następnie EIOD zauważa, że wprowadzając pojęcie pseudonimizacji, prawodawca Unii wyjaśnił, iż aby wyłączyć dane osobowe z zakresu stosowania prawa Unii w dziedzinie ochrony takich danych, nie wystarczy oddzielić tych danych od dodatkowych informacji umożliwiających identyfikację osoby, której dane dotyczą.

66

Wreszcie EIOD przypomina, że pojęcie danych osobowych należy interpretować szeroko, co jego zdaniem jest konieczne, aby prawo w dziedzinie ochrony danych było skuteczne (effet utile). W zakresie, w jakim wykładnia Sądu pozwalałaby na błędne uznanie danych spseudonimizowanych za dane anonimowe, mogłaby ona zagrozić wysokiemu poziomowi ochrony, do którego dąży prawodawca Unii i który jest wymagany na podstawie Karty. Zdaniem Europejskiej Rady Ochrony Danych wykładnia przyjęta przez Sąd wiązałaby się również z ryzykiem, że dane spseudonimizowane mogłyby być przetwarzane bez ograniczeń na podstawie RODO i rozporządzenia 2018/1725, co obejmowałoby ich udostępnianie, publikowanie i przekazywanie do państw trzecich.

67

SRB, popierana przez Komisję, nie zgadza się z tą argumentacją.

68

Pierwszy zarzut szczegółowy części drugiej zarzutu pierwszego opiera się w istocie na założeniu, że spseudonimizowane dane, takie jak uwagi przekazane Deloitte, stanowią w każdym razie dane osobowe wyłącznie ze względu na istnienie informacji pozwalających na zidentyfikowanie osoby, której dane dotyczą, bez konieczności konkretnego badania, czy pomimo pseudonimizacji możliwe jest zidentyfikowanie osoby, której dane dotyczą.

69

W tym względzie należy przypomnieć, że zgodnie z samym brzmieniem art. 3 pkt 1 rozporządzenia 2018/1725, aby informacja mogła zostać zakwalifikowana jako dane osobowe w rozumieniu tego przepisu, musi ona być o „zidentyfikowanej lub możliwej do zidentyfikowania” osobie fizycznej. W związku z tym stosowanie tego rozporządzenia zasadniczo zakłada badanie zidentyfikowanego lub możliwego do zidentyfikowania charakteru osoby, której dotyczą rozpatrywane informacje.

70

Wykładnię tę potwierdzają zdania piąte i szóste motywu 16 rozporządzenia 2018/1725, zgodnie z którymi definicja pojęcia „danych osobowych” nie obejmuje „informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub z możliwą do zidentyfikowania osobą fizyczną”, ani „danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować” (zob. analogicznie wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, pkt 57).

71

Co się tyczy w szczególności danych spseudonimizowanych, należy zauważyć w pierwszej kolejności, że dane te nie są wymienione w prawnej definicji pojęcia „danych osobowych” zawartej w art. 3 pkt 1 rozporządzenia 2018/1725, ale ich charakterystyka wynika z art. 3 pkt 6 tego rozporządzenia. Ten ostatni przepis definiuje pojęcie „pseudonimizacji” jako „przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”.

72

Jak zauważył w istocie rzecznik generalny w pkt 46 i 48 opinii, pseudonimizacja nie stanowi zatem elementu definicji „danych osobowych”, lecz odnosi się do wprowadzenia środków technicznych i organizacyjnych mających na celu zmniejszenie ryzyka powiązania zbioru danych z tożsamością osób, których dane dotyczą. Zgodnie z motywem 17 wspomnianego rozporządzenia pseudonimizacja „może [tylko] ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Bezpośrednie wprowadzenie pojęcia »pseudonimizacj[i]« w niniejszym rozporządzeniu nie służy wykluczeniu innych środków ochrony danych”.

73

W drugiej kolejności z brzmienia art. 3 pkt 6 rozporządzenia 2018/1725 wynika, że pojęcie „pseudonimizacji” zakłada istnienie informacji pozwalających na zidentyfikowanie osoby, której dane dotyczą. Tymczasem samo istnienie takich informacji stoi na przeszkodzie temu, by dane, które były przedmiotem pseudonimizacji, mogły w każdym wypadku zostać uznane za dane anonimowe, wyłączone z zakresu stosowania tego rozporządzenia.

74

Niemniej jednak, w trzeciej kolejności, przewidziany w art. 3 pkt 6 tego rozporządzenia wymóg osobnego przechowywania danych identyfikacyjnych oraz środków technicznych i organizacyjnych „[uniemożliwiający] ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej” wskazuje, że pseudonimizacja ma w szczególności na celu uniknięcie sytuacji, w której osoba, której dane dotyczą, mogłaby zostać zidentyfikowana za pomocą samych tylko danych spseudonimizowanych.

75

O ile bowiem takie środki techniczne i organizacyjne są rzeczywiście wprowadzone i mogą zapobiec przypisaniu rozpatrywanych danych osobie, której dane dotyczą, w taki sposób że osoby tej w ogóle nie można zidentyfikować lub już nie można zidentyfikować, o tyle pseudonimizacja może mieć wpływ na osobowy charakter tych danych w rozumieniu art. 3 pkt 1 rozporządzenia 2018/1725.

76

W tym względzie należy uściślić, że – jak to zwykle bywa w przypadku administratora, który dokonuje pseudonimizacji – SRB dysponuje w niniejszej sprawie dodatkowymi informacjami umożliwiającymi przypisanie uwag przekazanych Deloitte osobie, której dane dotyczą, w związku z czym uwagi te zachowują dla niej, pomimo pseudonimizacji, swój charakter danych osobowych.

77

Co się tyczy Deloitte, której SRB przekazała spseudonimizowane uwagi, środki techniczne i organizacyjne, o których mowa w art. 3 pkt 6 rozporządzenia 2018/1725, mogą, jak twierdzi w istocie SRB, skutkować tym, że dla tej spółki uwagi te nie mają charakteru danych osobowych. Zakłada to jednak z jednej strony, że Deloitte nie jest w stanie znieść tych środków podczas dokonywanego pod jej kontrolą przetwarzania tych uwag. Z drugiej strony wspomniane środki muszą w rzeczywistości mieć taki charakter, aby uniemożliwić Deloitte przypisanie tych uwag osobie, której dane dotyczą, również poprzez odwołanie się do innych środków identyfikacji, takich jak porównanie z innymi danymi, w taki sposób, że Deloitte w ogóle nie może zidentyfikować lub już nie może zidentyfikować osoby, której dane dotyczą.

78

Wykładnię tę potwierdza motyw 16 rozporządzenia 2018/1725, który, stwierdziwszy w zdaniu pierwszym, że „[z]asady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych”, przewiduje w zdaniu drugim, że „[s]pseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej”.

79

W następstwie tych wskazówek dotyczących danych osobowych i danych spseudonimizowanych w zdaniu trzecim tego motywu uściślono bowiem, że aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę „wszelkie sposoby w stosunku do których istnieje uzasadnione prawdopodobieństwo”, iż zostaną wykorzystane przez administratora lub „inną osobę” w celu „bezpośredniego lub pośredniego” zidentyfikowania osoby fizycznej. Ponadto zdanie czwarte tego motywu przewiduje, że aby stwierdzić, czy dany sposób może zostać z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby fizycznej, należy wziąć pod uwagę „wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny”.

80

Tymczasem, jak zauważył w istocie rzecznik generalny w pkt 51 opinii, te wyjaśnienia dotyczące oceny możliwości zidentyfikowania osoby, której dane dotyczą, byłyby pozbawione wszelkiej skuteczności (effet utile), gdyby dane spseudonimizowane należało uznać do celów stosowania rozporządzenia 2018/1725 za stanowiące, w każdym wypadku i w odniesieniu do każdej osoby, dane osobowe.

81

W tym względzie należy przypomnieć, że w wyroku z dnia 7 marca 2024 r., OC/Komisja (C‑479/22 P EU:C:2024:215, pkt 52–64), w odniesieniu do komunikatu prasowego, który zawierał pewną liczbę wskazówek dotyczących osoby bez wskazania jej imiennie, Trybunał nie ograniczył się do stwierdzenia, że organ Unii, który opublikował ten komunikat, dysponował wszystkimi informacjami umożliwiającymi identyfikację tej osoby, lecz zbadał, czy dane zawarte w tym komunikacie prasowym pozwalały zainteresowanej opinii publicznej z uzasadnionym prawdopodobieństwem zidentyfikować tę osobę, w szczególności poprzez połączenie tych danych z informacjami dostępnymi w Internecie.

82

Ponadto Trybunał orzekł już, że dany sposób nie może zostać z uzasadnionym prawdopodobieństwem zastosowany do zidentyfikowania osoby, której dane dotyczą, gdy ryzyko jej identyfikacji wydaje się w rzeczywistości znikome z uwagi na fakt, że identyfikacja tej osoby jest zakazana prawem lub niewykonalna w praktyce, przykładowo z powodu okoliczności, że wiąże się ona z nadmiernym nakładem czasu, kosztów i pracy ludzkiej (zob. podobnie wyrok z dnia 7 marca 2024 r., OC/Commission,C‑479/22 P, EU:C:2024:215, pkt 51 i przytoczone tam orzecznictwo). Orzecznictwo to potwierdza interpretację, zgodnie z którą istnienie dodatkowych informacji pozwalających na zidentyfikowanie osoby, której dane dotyczą, nie oznacza samo w sobie, że dane spseudonimizowane należy uznać za stanowiące, w każdym wypadku i w odniesieniu do każdej osoby, dane osobowe do celów stosowania rozporządzenia 2018/1725.

83

W tym samym duchu Trybunał orzekł w istocie, w szczególności w wyrokach z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779, pkt 44, 47, 48), i z dnia 7 marca 2024 r., IAB Europe (C‑604/22, EU:C:2024:214, pkt 43, 48), że dane same w sobie bezosobowe, gromadzone i przechowywane przez administratora, są jednak powiązane z możliwą do zidentyfikowania osobą, jeżeli administrator dysponuje środkami prawnymi umożliwiającymi uzyskanie od innej osoby dodatkowych informacji pozwalających zidentyfikować tę osobę. W takiej bowiem sytuacji okoliczność, że informacje umożliwiające identyfikację osoby, której dane dotyczą, znajdowały się w rękach różnych osób, nie mogła skutecznie uniemożliwić jej identyfikacji w taki sposób, że osoba ta pozostawałaby niezidentyfikowana dla administratora.

84

Przede wszystkim zgodnie z orzecznictwem wynikającym z wyroku z dnia 9 listopada 2023 r., Gesamtverband Autoteile-Handel (Dostęp do informacji o pojazdach) (C‑319/22, EU:C:2023:837, pkt 46, 49), dane, które są same w sobie bezosobowe, mogą mieć charakter „osobowy”, jeżeli administrator udostępnia je innym osobom dysponującym realnymi możliwościami, mogącymi pozwolić im na identyfikację osoby, której dane dotyczą. Z tego ostatniego wyroku wynika w szczególności, że w kontekście takiego udostępnienia dane te mają charakter danych osobowych zarówno dla tych osób, jak i pośrednio dla administratora.

85

W konsekwencji, w świetle orzecznictwa przypomnianego w poprzednim punkcie, EIOD niesłusznie twierdzi, że okoliczność, iż dane spseudonimizowane nie mają w danym wypadku charakteru danych osobowych dla osób, którym administrator przekazuje spseudonimizowane dane, pozwoliłaby niesłusznie wyłączyć te dane z zakresu stosowania prawa Unii w dziedzinie ochrony danych osobowych. Zgodnie bowiem z tym orzecznictwem wspomniana okoliczność nie ma wpływu na ocenę danych jako danych osobowych w szczególności w kontekście ewentualnego późniejszego przekazania ich osobom trzecim. W związku z tym, jeżeli nie można wykluczyć, że te osoby trzecie będą w stanie racjonalnie przypisać dane spseudonimizowane osobie, której dane dotyczą, za pomocą takich sposobów jak porównanie z innymi danymi, którymi dysponują, to osobę tę należy uznać za możliwą do zidentyfikowania w odniesieniu zarówno do tego przekazania, jak i do każdego dalszego przetwarzania tych danych przez wspomniane osoby trzecie. W takich okolicznościach dane spseudonimizowane należy uznać za dane osobowe.

86

Wynika z tego, że wbrew temu, co twierdzi EIOD, nie można uznać, by dane spseudonimizowane stanowiły, w każdym wypadku i w odniesieniu do każdej osoby, dane osobowe do celów stosowania rozporządzenia 2018/1725, ponieważ pseudonimizacja może, w zależności od okoliczności danej sprawy, rzeczywiście uniemożliwić osobom innym niż administrator zidentyfikowanie osoby, której dane dotyczą, w taki sposób, że dla tych osób nie jest ona w ogóle możliwa do zidentyfikowania lub już możliwa do zidentyfikowania.

87

Interpretacji tej nie podważa przywołana przez EIOD okoliczność, że zdanie czwarte motywu 16 rozporządzenia 2018/1725 dotyczy administratora lub „innej osoby”. Z samego brzmienia tego zdania, przypomnianego w pkt 79 niniejszego wyroku, wynika bowiem, że odnosi się ono wyłącznie do osób, które dysponują sposobami, co do których istnieje uzasadnione prawdopodobieństwo, że zostaną wykorzystane do identyfikacji osoby, której dane dotyczą, lub mogą mieć dostęp do tych sposobów. Tymczasem, jak wskazano w pkt 75–77 niniejszego wyroku, pseudonimizacja może, w zależności od okoliczności danej sprawy, rzeczywiście uniemożliwić osobom innym niż administrator zidentyfikowanie osoby, której dane dotyczą, w taki sposób, że dla tych osób nie jest ona w ogóle możliwa do zidentyfikowania lub już możliwa do zidentyfikowania.

88

Co się tyczy argumentu EIOD dotyczącego celu polegającego na zapewnieniu wysokiego poziomu ochrony danych osobowych, o ile brzmienie art. 3 pkt 1 rozporządzenia 2018/1725 odzwierciedla cel prawodawcy Unii polegający na przypisaniu pojęciu „danych osobowych” szerokiego znaczenia, o tyle pojęcie to nie jest nieograniczone, ponieważ przepis ten wymaga w szczególności, aby osoba, której dane dotyczą, została zidentyfikowana lub była możliwa do zidentyfikowania.

89

W szczególności, jak zauważył rzecznik generalny w pkt 58 opinii, rozporządzenie 2018/1725 zawiera obowiązki – takie jak przewidziany w art. 15 tego rozporządzenia obowiązek podania informacji osobie, której dane dotyczą – których przestrzeganie wymaga zidentyfikowania osoby, której dane dotyczą. Tymczasem takich obowiązków nie można nałożyć na podmiot, który w żaden sposób nie jest w stanie dokonać tej identyfikacji.

90

W związku z tym pierwszy zarzut szczegółowy części drugiej zarzutu pierwszego należy oddalić jako bezzasadny.

91

W drugim zarzucie szczegółowym części drugiej zarzutu pierwszego EIOD podnosi, że Sąd naruszył orzecznictwo wynikające z wyroku z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779).

92

W pierwszej kolejności Sąd pominął obiektywny charakter przesłanki dotyczącej „możliwego do zidentyfikowania” charakteru osoby, której dane dotyczą, orzekając w szczególności w pkt 97, 99 i 100 zaskarżonego wyroku, że EIOD powinien był zbadać, czy uwagi przekazane Deloitte stanowiły z punktu widzenia tej ostatniej dane osobowe. Zdaniem EIOD z pkt 47 i 48 wyroku z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779), wynika bowiem, że samo istnienie środków prawnych umożliwiających zidentyfikowanie osoby, której dane dotyczą, wystarcza do stwierdzenia, że osoba ta jest możliwa do zidentyfikowania. Tymczasem w niniejszej sprawie SRB była w stanie zidentyfikować osoby, których dotyczyło przetwarzanie, co stanowi okoliczność, której Sąd nie uwzględnił w wystarczającym stopniu w ramach stosowania orzecznictwa wynikającego z tego wyroku.

93

W drugiej kolejności EIOD twierdzi, że we wspomnianym wyroku możliwość zidentyfikowania lub brak możliwości zidentyfikowania osoby, której dane dotyczą, zostały ocenione z punktu widzenia administratora, i to w braku jakichkolwiek powiązań między tym administratorem a podmiotami posiadającymi dodatkowe informacje pozwalające na zidentyfikowanie tej osoby. Natomiast w niniejszej sprawie Deloitte nie była administratorem, a ponadto była związana umową z SRB. Biorąc pod uwagę te różnice, EIOD uważa, że nie miał obowiązku przeprowadzenia pełnej oceny sposobów, w stosunku do których istnieje uzasadnione prawdopodobieństwo, że mogłyby umożliwić Deloitte zidentyfikowanie osób, których dane dotyczą.

94

W każdym razie, w przypadku gdyby miał on jednak obowiązek dokonania oceny, czy Deloitte była w stanie zidentyfikować autorów uwag, które zostały jej przekazane, EIOD twierdzi, że nic nie stało na przeszkodzie, by Deloitte dokonała tej identyfikacji.

95

SRB, popierana przez Komisję, nie zgadza się z tą argumentacją.

96

W pierwszej kolejności w szczególności w pkt 96, 97 i 100 zaskarżonego wyroku Sąd słusznie oparł się na podejściu, zgodnie z którym możliwość zidentyfikowania osoby, której dane dotyczą, należy badać w odniesieniu do każdej takiej osoby i każdego administratora przetwarzającego istotne informacje. Tymczasem w kontekście obowiązku podania informacji, przewidzianego w art. 15 ust. 1 lit. d) rozporządzenia 2018/1725, badanie to powinno odbywać się z perspektywy odbiorcy rozpatrywanych informacji.

97

W drugiej kolejności SRB utrzymuje, że argumentacja oparta na rzekomych różnicach między niniejszą sprawą a tą, która doprowadziła do wydania wyroku z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779), jest niedopuszczalna. Uważa ona, że argumentacja ta podważa ustalenia faktyczne Sądu zawarte w pkt 94 i 95 zaskarżonego wyroku, zgodnie z którymi Deloitte nie miała dostępu do informacji identyfikacyjnych niezbędnych do zidentyfikowania skarżących.

98

W szczególności w pkt 97–100 zaskarżonego wyroku Sąd orzekł w istocie, że zgodnie z orzecznictwem wynikającym z wyroku z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779), EIOD powinien był zbadać, czy komentarze przekazane Deloitte stanowiły z punktu widzenia tej ostatniej dane osobowe. Aby dojść do tego stwierdzenia, Sąd zauważył w szczególności, że stwierdzone w spornej decyzji naruszenie art. 15 ust. 1 lit. d) rozporządzenia 2018/1725 dotyczyło przekazania przez SRB tych komentarzy Deloitte, a nie tylko ich posiadania przez SRB.

99

Na wstępie należy przypomnieć, że art. 3 pkt 1 rozporządzenia 2018/1725 nie precyzuje wyraźnie perspektywy mającej znaczenie dla oceny możliwości zidentyfikowania osoby, której dane dotyczą, podczas gdy motyw 16 tego rozporządzenia odnosi się, bez rozróżnienia, do „administratora” lub „innej osoby”. Wynika z tego ponadto, że aby dane mogły zostać uznane za „dane osobowe”, nie jest wymagane, by wszystkie informacje umożliwiające identyfikację osoby, której dane dotyczą, musiały znajdować się w rękach tylko jednej osoby (zob. podobnie wyroki: z dnia 19 października 2016 r., Breyer, C‑582/14, EU:C:2016:779, pkt 43; z dnia 7 marca 2024 r., OC/Komisja, C‑479/22 P, EU:C:2024:215, pkt 48).

100

Zgodnie z orzecznictwem wynikającym w szczególności z wyroku z dnia 19 października 2016 r., Breyer (C‑582/14, EU:C:2016:779), przypomnianego w pkt 81–84 niniejszego wyroku, perspektywa właściwa dla oceny możliwości zidentyfikowania osoby, której dane dotyczą, zależy zasadniczo od okoliczności charakteryzujących przetwarzanie danych w każdym konkretnym przypadku.

101

W niniejszej sprawie należy przypomnieć, że w spornej decyzji EIOD stwierdził, iż nie wskazując Deloitte jako potencjalnego odbiorcy uwag w oświadczeniu o ochronie prywatności złożonym w chwili gromadzenia tych uwag, SRB naruszyła ciążący na niej obowiązek podania informacji wynikający z art. 15 ust. 1 lit. d) rozporządzenia 2018/1725.

102

Artykuł 15 ust. 1 tego rozporządzenia określa informacje, jakie administrator powinien przekazać osobie, której dane dotyczą, w przypadku gdy dane osobowe są zbierane od tej osoby, uściślając przy tym, że informacje te należy przekazać tej osobie „w momencie uzyskania przedmiotowych danych”. Z samego brzmienia tego przepisu wynika, że administrator danych powinien udzielić tych informacji niezwłocznie, czyli w chwili gromadzenia tych danych (zob. analogicznie wyrok z dnia 29 lipca 2019 r., Fashion ID, C‑40/17, EU:C:2019:629, pkt 104 i przytoczone tam orzecznictwo).

103

W odniesieniu w szczególności do informacji dotyczącej ewentualnych odbiorców danych osobowych, o której mowa w art. 15 ust. 1 lit. d) wspomnianego rozporządzenia, chodzi tu o informacje, jaką należy podać wraz z innymi przy zbieraniu danych od osoby, której dane dotyczą.

104

Artykuł 14 ust. 1 rozporządzenia 2018/1725 przewiduje, że administrator podejmuje odpowiednie środki, aby w szczególności udzielić osobie, której dane dotyczą, informacji, o których mowa między innymi w art. 15 tego rozporządzenia, w sposób zwięzły, przejrzysty, zrozumiały, łatwo dostępny oraz jasnym i prostym językiem, tak aby umożliwić tej osobie pełne zrozumienie przekazywanych jej informacji [zob. analogicznie wyroki: z dnia 4 maja 2023 r., Österreichische Datenschutzbehörde i CRIF, C‑487/21, EU:C:2023:369, pkt 38; a także z dnia 11 lipca 2024 r., Meta Platforms Ireland (Powództwo przedstawicielskie), C‑757/22, EU:C:2024:598, pkt 55, 56].

105

Znaczenie poszanowania takiego obowiązku podania informacji zostało również potwierdzone w zdaniach pierwszym i drugim motywu 35 rozporządzenia 2018/1725, zgodnie z którymi zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Co istotne, administrator powinien również podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych, zgodnie z tym, co przewiduje art. 15 ust. 2 tego rozporządzenia [zob. analogicznie wyrok z dnia 11 lipca 2024 r., Meta Platforms Ireland (Powództwo przedstawicielskie), C‑757/22, EU:C:2024:598, pkt 57 i przytoczone tam orzecznictwo].

106

Tak więc w przypadku gdy zbieranie takich danych od osoby, której dane dotyczą, jest – jak w niniejszej sprawie, w ramach postępowania dotyczącego prawa do bycia wysłuchanym – oparte na zgodzie tej osoby, ważność zgody wyrażonej przez tę osobę zależy między innymi od tego, czy osoba ta uzyskała wcześniej informacje o wszystkich okolicznościach związanych z przetwarzaniem rozpatrywanych danych, do których miała ona prawo na podstawie art. 15 rozporządzenia 2018/1725 i które umożliwiają jej wyrażenie zgody z pełną znajomością rzeczy [zob. analogicznie wyrok z dnia 11 lipca 2024 r., Meta Platforms Ireland (Powództwo przedstawicielskie), C‑757/22, EU:C:2024:598, pkt 60].

107

Ponadto w odniesieniu do hipotezy dotyczącej obowiązku podania administratorowi przez osobę, której dane dotyczą, danych osobowych, w zdaniu czwartym motywu 35 tego rozporządzenia sprecyzowano, że jeżeli gromadzi się dane osobowe od osoby, której dane dotyczą, to należy ją też poinformować, czy ma ona obowiązek je podać, oraz o konsekwencjach ich niepodania, co potwierdza znaczenie informacji wymaganej na mocy art. 15 tego rozporządzenia w momencie zbierania danych od osoby, której dane dotyczą.

108

W tych okolicznościach okazuje się, że obowiązek podania osobie, której dane dotyczą – w chwili zbierania związanych z nią danych osobowych – informacji o ewentualnych odbiorcach tych danych ma w szczególności na celu umożliwienie tej osobie podjęcia świadomej decyzji, czy podać swoje dane osobowe zbierane od niej, czy też przeciwnie – odmówić ich podania .

109

Należy dodać, że – jak podniosła w istocie Komisja na rozprawie – prawdą jest, iż informacja dotycząca ewentualnych odbiorców jest również niezbędna, aby osoba, której dane dotyczą, mogła później bronić swoich praw względem tych odbiorców. Jednakże obowiązek podania tej informacji w momencie zbierania danych osobowych gwarantuje w szczególności, że dane te nie zostaną zebrane przez administratora danych wbrew woli osoby, której dane dotyczą, ani wbrew jej woli przekazane osobom trzecim.

110

Wynika stąd, że – jak zauważył rzecznik generalny w pkt 69 opinii – obowiązek podania informacji przewidziany w art. 15 ust. 1 lit. d) rozporządzenia 2018/1725 wpisuje się w stosunek prawny istniejący między osobą, której dane dotyczą, a administratorem i w związku z tym jego przedmiotem są informacje związane z tą osobą, jakie zostały przekazane temu administratorowi, a zatem poprzedza jakiekolwiek ewentualne przekazanie ich osobie trzeciej.

111

W związku z tym należy stwierdzić, że do celów stosowania obowiązku podania informacji przewidzianego w art. 15 ust. 1 lit. d) rozporządzenia 2018/1725 możliwość zidentyfikowania osoby, której dane dotyczą, należy oceniać w momencie zbierania danych i z punktu widzenia administratora.

112

Wynika stąd, że – jak zauważył w istocie rzecznik generalny w pkt 79 opinii – spoczywający na SRB obowiązek podania informacji miał zastosowanie w niniejszej sprawie przed przekazaniem rozpatrywanych uwag i niezależnie od tego, czy z punktu widzenia Deloitte miały one osobisty charakter po ich ewentualnej pseudonimizacji.

113

Wykładni tej nie podważa argument SRB dotyczący brzmienia art. 15 ust. 1 lit. d) rozporządzenia 2018/1725, który odnosi się do „odbiorców danych osobowych”. Jak wynika bowiem z pkt 102–108 niniejszego wyroku, przepis ten reguluje spoczywający na administratorze obowiązek podania informacji w chwili ich zbierania. Tymczasem kwestia, czy administrator wywiązał się w tym momencie ze spoczywającego na nim obowiązku podania informacji, nie może zależeć od możliwości zidentyfikowania osoby, której dane dotyczą, jaką w danym wypadku dysponowałby ewentualny odbiorca w następstwie przekazania rozpatrywanych danych.

114

Jak zauważył w istocie rzecznik generalny w pkt 77 opinii, argumentacja SRB, zgodnie z którą w celu kontroli przestrzegania wspomnianego obowiązku podania informacji należy przyjąć punkt widzenia odbiorcy, skutkuje odroczeniem tej kontroli w czasie. W zakresie, w jakim wspomniana kontrola musiałaby dotyczyć danych osobowych już przekazanych odbiorcy, argumentacja ta nie uwzględnia również przedmiotu obowiązku podania informacji, który jest nierozerwalnie związany ze stosunkiem między administratorem a osobą, której dane dotyczą.

115

Tym samym Sąd naruszył prawo, orzekając w pkt 97, 98, 100, 101 i 103–105 zaskarżonego wyroku, że aby ocenić, czy SRB dopełniła obowiązku podania informacji na podstawie art. 15 ust. 1 lit. d) rozporządzenia 2018/1725, EIOD powinien był zbadać, czy uwagi przekazane Deloitte stanowiły z punktu widzenia tej spółki dane osobowe.

116

W konsekwencji, bez konieczności badania argumentów EIOD streszczonych w pkt 93 i 94 niniejszego wyroku, należy uwzględnić drugi zarzut szczegółowy części drugiej zarzutu pierwszego.

117

Ponieważ część pierwsza zarzutu pierwszego odwołania i drugi zarzut szczegółowy części drugiej tego zarzutu są zasadne, nie ma potrzeby badania zarzutu drugiego EIOD, dotyczącego naruszenia art. 4 ust. 2 i art. 26 ust. 1 rozporządzenia 2018/1725.

118

W związku z tym, że zarzut pierwszy odwołania został uwzględniony, należy uchylić zaskarżony wyrok.

119

Zgodnie z art. 61 akapit pierwszy zdanie drugie statutu Trybunału Sprawiedliwości Unii Europejskiej w przypadku uchylenia orzeczenia Sądu Trybunał może wydać orzeczenie ostateczne w sprawie, jeśli stan postępowania na to pozwala.

120

W niniejszej sprawie stan postępowania pozwala na wydanie orzeczenia w odniesieniu do zarzutu pierwszego skargi, dotyczącego podnoszonego przez EIOD naruszenia art. 3 pkt 1 rozporządzenia 2018/1725 w zakresie, w jakim informacje przekazane Deloitte nie stanowiły danych osobowych. W świetle rozważań zawartych w pkt 58–60 niniejszego wyroku EIOD mógł bowiem z jednej strony uznać, nie naruszając prawa, że uwagi przekazane Deloitte stanowiły informacje o osobach fizycznych, a mianowicie autorach tych uwag. Z drugiej strony, jak wskazano w pkt 111 tego wyroku, w ramach stosowania obowiązku podania informacji przewidzianego w art. 15 ust. 1 lit. d) tego rozporządzenia możliwość zidentyfikowania osoby, której dane dotyczą, powinna być oceniana z punktu widzenia administratora. Strony są zaś zgodne co do tego, że SRB, jako administrator, dysponowała wszystkimi informacjami niezbędnymi do zidentyfikowania autorów tych uwag. Z powyższego wynika, że sporne informacje stanowią, wbrew temu, co twierdzi SRB, dane osobowe. W konsekwencji zarzut pierwszy skargi należy oddalić jako bezzasadny.

121

Natomiast stan postępowania nie pozwala na wydanie orzeczenia w odniesieniu do zarzutu drugiego skargi, ponieważ zarzut ten wymaga dokonania oceny okoliczności faktycznych, której nie przeprowadził Sąd.

122

W konsekwencji sprawę należy skierować do ponownego rozpoznania przez Sąd w celu zbadania zarzutu drugiego.

123

Ponieważ sprawa zostaje przekazana Sądowi do ponownego rozpoznania, rozstrzygnięcie o kosztach postępowania odwoławczego nastąpi w orzeczeniu kończącym postępowanie w sprawie.

Z powyższych względów Trybunał (pierwsza izba) orzeka, co następuje: