1.

Evropski nadzornik za varstvo podatkov (ENVP) s pritožbo predlaga razveljavitev sodbe Splošnega sodišča Evropske unije z dne 26. aprila 2023, EOR/ENVP (T‑557/20, v nadaljevanju: izpodbijana sodba, EU:T:2023:219), s katero je to sodišče razglasilo ničnost revidiranega sklepa ENVP z dne 24. novembra 2020 (v nadaljevanju: sporni sklep) v zvezi s petimi pritožbami, ki so jih vložili delničarji in upniki, ki jih je prizadelo reševanje banke Banco Popular Español SA (v nadaljevanju: Banco Popular), in v katerih so se pritožili, da niso bili obveščeni o prenosu svojih osebnih podatkov.

2.

Ta zadeva daje Sodišču priložnost, da v kontekstu psevdonimiziranih podatkov pojasni pojem „osebni podatki“ in obveznosti, ki iz tega izhajajo za izpolnitev obveznosti poštene in pregledne obdelave podatkov.

3.

Glavne določbe Uredbe (EU) 2018/1725, ( 2 ) ki so upoštevne v okviru te pritožbe, so naslednje.

4.

V uvodnih izjavah 16 in 17 te uredbe je navedeno:

5.

Člen 3 navedene uredbe, naslovljen „Opredelitev pojmov“, v točkah 1 in 6 določa:

„V tej uredbi se uporabljajo naslednje opredelitve pojmov:

[…]

6.

Člen 4 iste uredbe, naslovljen „Načela v zvezi z obdelavo osebnih podatkov“, v odstavkih 1(a) in 2 določa:

„1.   Osebni podatki so:

[…]

2.   Upravljavec je odgovoren za skladnost z odstavkom 1 in mora biti to skladnost zmožen dokazati (‚odgovornost‘).“

7.

Člen 15 Uredbe 2018/1725, naslovljen „Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki“, v odstavku 1(d) določa:

„Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:

[…]

8.

Enotni odbor za reševanje (EOR) je 7. junija 2017 na podlagi Uredbe (EU) št. 806/2014 Evropskega parlamenta in Sveta z dne 15. julija 2014 o določitvi enotnih pravil in enotnega postopka za reševanje kreditnih institucij in določenih investicijskih podjetij v okviru enotnega mehanizma za reševanje in enotnega sklada za reševanje ter o spremembi Uredbe (EU) št. 1093/2010 ( 3 ) sprejel shemo za reševanje za družbo Banco Popular, ki je bila istega dne odobrena s sklepom Evropske komisije, ( 4 ) kar je konkretno pomenilo, da so bili kapitalski instrumenti banke odpisani ali konvertirani in odsvojeni s prenosom delnic.

9.

EOR je v skladu s členom 20, od (16) do (18), Uredbe št. 806/2014 družbi Deloitte kot „neodvisni osebi“ ( 5 ) zaupal vrednotenje razlik pri obravnavi, da bi se ugotovilo, ali bi bili delničarji in upniki, ki jih je prizadel ukrep za reševanje, deležni boljše obravnave, če bi bil za to institucijo uveden običajni insolvenčni postopek.

10.

Družba Deloitte je 14. junija 2018 to vrednotenje razlik pri obravnavi (v nadaljevanju: vrednotenje 3) predložila EOR. EOR je v predhodnem sklepu navedel, da je za to, da bi lahko sprejel končno odločitev o tem, ali naj se delničarjem in upnikom, ki jih je prizadelo reševanje družbe Banco Popular, odobri nadomestilo na podlagi člena 76(1)(e) Uredbe št. 806/2014, začel postopek v zvezi s pravico do izjave, ki je vključevala prvo fazo vpisa, da bi preveril upravičenost strank, ki so izrazile interes, in drugo fazo posvetovanja, v okviru katere so prizadeti delničarji in upniki predložili pripombe v zvezi s predhodnim sklepom EOR, kateremu je bilo priloženo vrednotenje 3.

11.

Podatki, zbrani v fazi vpisa, in sicer dokazi o identiteti udeležencev in lastništvu odpisanih ali konvertiranih in prenesenih kapitalskih instrumentov družbe Banco Popular, so bili dostopni omejenemu številu uslužbencev EOR, odgovornih za obdelavo teh podatkov, zato da bi lahko ugotovili upravičenost udeležencev. Ti podatki niso bili vidni uslužbencem EOR, zadolženim za obravnavo pripomb, prejetih v fazi posvetovanja, med katero so prejeli le pripombe, opredeljene s sklicevanjem na alfanumerično kodo ( 6 ), dodeljeno vsaki pripombi, predloženi na obrazcu.

12.

Po združevanju, samodejnem filtriranju in kategorizaciji pripomb je EOR družbi Deloitte ( 7 ) posredoval pripombe v zvezi z vrednotenjem 3, ki so bile tako filtrirane, kategorizirane in združene. Pripombe, prenesene družbi Deloitte, so bile le tiste, ki so bile prejete v fazi posvetovanja, in so imele alfanumerično kodo, razvito za namene revizije, da bi EOR lahko naknadno preveril in morebiti dokazal, da je bila vsaka pripomba obravnavana in ustrezno upoštevana. EOR je bil edini, ki je lahko prek te kode pripombe povezal s podatki, prejetimi v fazi vpisa. Družba Deloitte ni imela, in še vedno nima, dostopa do zbirke podatkov, zbranih v fazi vpisa.

13.

Prizadeti delničarji in upniki (v nadaljevanju: pritožniki) so na podlagi Uredbe 2018/1725 ENVP predložili pet pritožb, ker izjava o varstvu osebnih podatkov, ki jo je objavil EOR, ni vsebovala navedbe o posredovanju podatkov, zbranih z uporabo obrazca, družbi Deloitte. Trdili so, da je EOR kršil obveznost obveščanja v zvezi z obdelavo osebnih podatkov na podlagi te uredbe, določeno v členu 15(1)(d) navedene uredbe.

14.

ENVP je 24. junija 2020 sprejel prvotni sklep, ki je bil na podlagi zahteve EOR za pregled razglašen za ničen in 24. novembra 2020 nadomeščen s spornim sklepom, ki določa:

15.

EOR je z vlogo z dne 1. septembra 2020 in prilagoditveno vlogo z dne 29. januarja 2021 v sodnem tajništvu Splošnega sodišča vložil tožbo, s katero je predlagal, prvič, razglasitev ničnosti spornega sklepa in, drugič, razglasitev nezakonitosti prvotnega sklepa ENVP z dne 24. junija 2020.

16.

EOR je v podporo prvemu tožbenemu predlogu ( 8 ) navedel dva tožbena razloga. Prvi tožbeni razlog se je nanašal na kršitev člena 3, točka 1, Uredbe 2018/1725, ker naj informacije, posredovane družbi Deloitte, ne bi bile osebni podatki, drugi tožbeni razlog pa na kršitev pravice do dobrega upravljanja iz člena 41 Listine Evropske unije o temeljnih pravicah.

17.

Splošno sodišče je z izpodbijano sodbo ta tožbeni predlog razglasilo za dopusten. Kar zadeva vsebino, je ugodilo prvemu tožbenemu razlogu in sporni sklep razglasilo za ničen, ne da bi preučilo drugi tožbeni razlog.

18.

V zvezi s prvim tožbenim razlogom je Splošno sodišče menilo, prvič, da je ENVP menil, da so informacije, posredovane družbi Deloitte, „v zvezi s“ posameznikom v smislu člena 3, točka 1, Uredbe 2018/1725, pri čemer se je oprl na domnevo, ne da bi preveril vsebino, namen in učinek informacij, posredovanih družbi Deloitte, ( 9 ) kar naj bi bilo v nasprotju s sodbo Nowak ( 10 ).

19.

Drugič, v zvezi s pogojem iz člena 3, točka 1, Uredbe 2018/1725, v skladu s katerim mora biti informacija v zvezi z „določenim ali določljivim“ posameznikom, je Splošno sodišče menilo, da bi moral v obravnavani zadevi ENVP preučiti, ali so pripombe, posredovane družbi Deloitte – za to družbo – osebni podatki. V skladu z izpodbijano sodbo pa se je ENVP omejil na preučitev možnosti ponovne identifikacije avtorjev pripomb z vidika EOR, ne pa z vidika družbe Deloitte. Ker ENVP ni preveril, ali ima družba Deloitte v praksi na voljo zakonita in izvedljiva sredstva, ki bi ji omogočala dostop do dodatnih informacij, potrebnih za ponovno identifikacijo avtorjev pripomb, naj ENVP torej ne bi mogel ugotoviti, da gre v primeru informacij, ki so bile posredovane družbi Deloitte, za informacije, ki se nanašajo na „določljivega posameznika“ v smislu člena 3, točka 1, Uredbe 2018/1725. ( 11 )

20.

ENVP je 5. julija 2023 v sodnem tajništvu Sodišča vložil pritožbo zoper izpodbijano sodbo. Evropskemu odboru za varstvo podatkov je bila s sklepom predsednika Sodišča z dne 29. novembra 2023 ( 12 ) dovoljena intervencija v podporo predlogom ENVP, Evropski komisiji pa je bila s sklepom z dne 20. oktobra 2023 dovoljena intervencija v podporo EOR.

21.

ENVP Sodišču predlaga, naj:

22.

Evropski odbor za varstvo podatkov, ki podpira ENVP, Sodišču predlaga, naj:

23.

EOR Sodišču predlaga, naj:

24.

Evropska komisija, ki podpira EOR, Sodišču predlaga, naj:

25.

ENVP ob podpori Evropskega odbora za varstvo podatkov v utemeljitev pritožbe navaja dva pritožbena razloga. S prvim se izpodbija razlaga, ki jo je Splošno sodišče podalo glede pojma „osebni podatki“ v smislu člena 3, točki 1 in 6, Uredbe 2018/1725, kot se razlaga v sodni praksi Sodišča. Drugi pritožbeni razlog se nanaša na kršitev načela odgovornosti iz člena 4(2) in člena 26(1) te uredbe.

26.

Prvi pritožbeni razlog ima dva dela. Prvi del se nanaša na pogoj, da morajo biti sporne informacije „v zvezi s“ posameznikom, drugi pa na pogoj, da je ta posameznik „določen ali določljiv“.

27.

ENVP, ki ga podpira Evropski odbor za varstvo podatkov, trdi, da je Splošno sodišče storilo napako s tem, da je odločilo, da se je ENVP oprl na domnevo v zvezi z razlago pogoja, v skladu s katerim se informacije, posredovane družbi Deloitte, nanašajo na posameznika v smislu člena 3, točka 1, Uredbe 2018/1725. Po njegovem mnenju se v okoliščinah obravnavane zadeve od njega ni zahtevala temeljitejša preučitev.

28.

EOR pa trdi, da se je ENVP, kot je presodilo Splošno sodišče, omejil na navedbo, da sporne pripombe, ki so jih pritožniki predložili v fazi posvetovanja v postopku v zvezi s pravico do izjave, odražajo njihova mnenja ali stališča, čeprav bi moral preučiti, ali so bile informacije, posredovane družbe Deloitte, zaradi svoje vsebine, namena ali učinka povezane s posameznikom, kot je zahtevano v sodbi Nowak.

29.

Opozoriti je treba, da je Sodišče večkrat razsodilo, da uporaba izraza „katera koli informacija“ v opredelitvi pojma „osebni podatek“ odraža cilj zakonodajalca Unije, da temu pojmu da širok pomen, ki potencialno zajema vse vrste informacij, ( 13 ) tako objektivnih kot subjektivnih, v obliki mnenj ali presoj, vendar pod pogojem, da se te „nanašajo“ na zadevno osebo.

30.

Pri tem se informacija nanaša na določenega ali določljivega posameznika, kadar je zaradi svoje vsebine, namena ali učinka „povezana“ z določeno osebo. ( 14 )

31.

Kar zadeva mnenja ali presoje, kot so pripombe pritožnikov v obravnavani zadevi, se mi zdi pomembno razlikovati glede na to, ali se preuči, ali so navedena mnenja ali presoje „v zvezi s“ posameznikom ali posamezniki, na katere se nanaša besedilo mnenja ali presoje, ali pa je treba, kot v obravnavani zadevi, ugotoviti, ali so v zvezi z njihovim avtorjem. V prvem primeru je treba za ugotovitev, da gre za informacijo v zvezi s posameznikom, ki je predmet presoje, analizirati, ali se vsebina, namen ali učinek presoje nanašajo na tega posameznika. V drugem primeru pa se mi nasprotno zdi, da bi se za ugotovitev, ali se presoja nanaša na posameznika, ki jo je podal, lahko domnevalo, da je tako in da je mnenje ali presoja nujno povezana z njenim avtorjem.

32.

Tako je bilo v sodbi Nowak v bistvu treba presoditi informacije, vsebovane v izpitnem izdelku. Šlo je torej za dva posameznika: kandidata in popravljavca. Res je, da je Sodišče preučilo vsebino, namen in učinek odgovorov kandidata in iz tega sklepalo, da se nanašajo nanj. Po tem pojasnilu, kar zadeva še posebej komentarje popravljavca, ki odražajo njegovo mnenje ali presojo, ( 15 ) Sodišče, čeprav je preučilo vsebino, namen in učinek informacij v izdelku, da je ugotovilo, da se te presoje nanašajo na kandidata, take preučitve ni opravilo za ugotovitev, da gre za informacije, ki se nanašajo na popravljavca, ki je bil njihov avtor. ( 16 ) Po mojem mnenju torej ni mogoče popolnoma izključiti, da se lahko pri preverjanju, ali je mnenje ali presoja ali, kot v obravnavani zadevi, pripomba „v zvezi z“ avtorjem, uporabi (izpodbojna) domneva.

33.

Iz tega sklepam, da so se – razen če se dokaže nasprotno – pripombe v obravnavani zadevi, ker so jih podali pritožniki in so kazale „njihovo logiko ali razlogovanje“, ki je bilo torej izraz njihovega „subjektivnega mnenja“, nujno „nanašale“ na navedene pritožnike neodvisno od namena ali učinka njihovih pripomb.

34.

Vsekakor tudi če v obravnavani zadevi taka domneva ne obstaja, menim, da so zadevne pripombe zaradi svoje vsebine, namena in učinka „v zvezi s“ pritožniki.

35.

Glede tega EOR trdi, da so trditve v zvezi z namenom in kontekstom zadevnih pripomb brezpredmetne, ker v spornem sklepu niso bile preučene, nedopustne, ker vsebujejo novo dejansko trditev, ter vsekakor napačne.

36.

Ta trditev me ne prepriča. Tako preučitev, ki jo je ENVP opravil v spornem sklepu, kot presoja Splošnega sodišča namreč spadata v pravni kontekst, ki je bil upoštevan ter ki jasno navaja namen in učinek zadevnih pripomb, predloženih v okviru postopka v zvezi s pravico do izjave. Te trditve v zvezi z namenom in učinkom zadevnih pripomb so torej upoštevne in dopustne.

37.

Poleg tega je glede utemeljenosti iz pravnega okvira, ki se uporablja, razvidno, da je bil namen postopka v zvezi s pravico do izjave, v katerem so bile zadevne pripombe predložene, omogočiti prizadetim delničarjem in upnikom, da prispevajo k postopku, zlasti da bi se EOR omogočilo, da ima na voljo vse potrebne informacije za sprejetje končne odločitve o tem, ali naj se delničarjem in upnikom, ki jih je prizadelo reševanje družbe Banco Popular, odobri nadomestilo, na podlagi načela, da noben upnik ne more biti slabše obravnavan kot v primeru likvidacije po običajnem insolvenčnem postopku. ( 17 ) Poleg tega so te pripombe, potem ko jih je EOR upošteval, lahko vplivale na interese in pravice pritožnikov v zvezi s finančnim nadomestilom.

38.

Iz tega sklepam, da se v obravnavani zadevi zadevne pripombe nanašajo na posameznike, na katere se nanašajo osebni podatki, vključno zaradi njihovega namena in učinka.

39.

Dodati želim, da so bile zadevne pripombe, kot so bile posredovane družbi Deloitte, „filtrirane, kategorizirane in združene“, tako da – kot je razvidno iz dejanskega stanja, ki ga je ugotovilo Splošno sodišče ( 18 ) – posameznih pripomb ni bilo mogoče razlikovati v okviru iste teme, vendar se lahko dopušča, da te skupne pripombe, tudi če so združene, po svoji vsebini odražajo osebna stališča glede vrednotenja 3. Sestavljajo namreč sklop mnenj, ki kot taka pomenijo informacije v zvezi s posamezniki, ki so jih izrazili. Njihovo filtriranje, kategorizacija in združevanje ne spremenijo te ugotovitve, saj bi bilo sicer za izognitev pogoju informacije „v zvezi s“ posameznikom dovolj združiti več stališč. Zdi se mi, da to, da znotraj tega sklopa pripomb ni mogoče razlikovati med različnimi individualnimi mnenji, spada bolj pod drugi kumulativni pogoj v zvezi z določljivostjo posameznikov, na katere se nanašajo osebni podatki, ki je preučen v okviru drugega dela tega pritožbenega razloga, kot pod pogoj, ki zahteva, da je pripomba „povezana“ s posameznikom.

40.

V teh okoliščinah menim, da je mogoče šteti, da je Splošno sodišče v okviru presoje v zvezi s tem napačno uporabilo pravo, ker je ugotovilo, da ENVP ni opravil preučitve, zahtevane v sodbi Nowak za ugotovitev, da so zadevne pripombe „v zvezi s“ posamezniki v smislu člena 3, točka 1, Uredbe 2018/1725.

41.

Če bi se Sodišče odločilo zavrniti ta prvi del in odločilo, da se zadevne psevdonimizirane pripombe ne nanašajo na njihove avtorje, bi bila preučitev drugega dela pritožbenega razloga odveč, ker gre v skladu s členom 3, točka 1, Uredbe 2018/1725 za pogoj, ki je nujen za obstoj osebnega podatka in kumulativen s pogojem določljivosti posameznikov, na katere se nanašajo osebni podatki, ki je preučen v nadaljevanju.

42.

ENVP in Evropski odbor za varstvo podatkov v bistvu trdita, da je Splošno sodišče dvakrat napačno uporabilo pravo, in sicer prvič v zvezi s pojmom „psevdonimizacija“ in drugič v zvezi z razlago sodbe Breyer ( 19 ), kar EOR in Komisija izpodbijata.

43.

Ta očitek ponazarja obstoj dveh zelo različnih pristopov k obsegu področja uporabe pravil o varstvu podatkov. Ali je treba mednje samodejno vključiti psevdonimizirane podatke le zato, ker posamezniki, na katere se nanašajo osebni podatki, ostanejo določljivi, ne glede na dostopnost dodatnih podatkov, ki omogočajo individualno prepoznavanje, ali pa je treba šteti, da so po postopku psevdonimizacije podatki osebni le še za osebe, ki lahko razumno identificirajo zadevne posameznike?

44.

ENVP in Evropski odbor za varstvo podatkov v bistvu trdita, da psevdonimizirani podatki ostanejo osebni podatki le zato, ker posamezniki, na katere se nanašajo osebni podatki, ostanejo določljivi, saj informacije, na podlagi katerih jih je mogoče identificirati, še naprej obstajajo. Pristop Splošnega sodišča naj bi bil napačen, ker naj bi omogočal, da se psevdonimizirani podatki štejejo za anonimizirane podatke v razmerju do uporabnika, kar naj bi pomenilo tveganje za varstvo posameznikov, na katere se nanašajo osebni podatki, in povzročalo zmedo med psevdonimizacijo in anonimizacijo. Tak pristop, ki je v nasprotju z besedilom in ciljem Uredbe 2018/1725, naj bi upravljavcu omogočal, da osebne podatke neupravičeno izvzame s področja uporabe prava Unije o varstvu takih podatkov.

45.

EOR in Komisija trdita, da psevdonimizirani podatki ostajajo osebni podatki za upravljavca, ki jih je psevdonimiziral, da pa je treba v zvezi z uporabniki preučiti, ali so posamezniki, na katere se nanašajo osebni podatki, določljivi. Poleg tega, tudi če člen 3, točka 1, Uredbe 2018/1725 ne določa natančno, kdo mora biti sposoben identificirati posameznika, na katerega se nanašajo osebni podatki, naj bi bil glede na uvodno izjavo 16 in v kontekstu člena 15(1)(d) te uredbe, ki se obravnava v tej zadevi, pomemben vidik uporabnika. Menita, da če ta uporabnik ne prejme osebnih podatkov, posamezniki, na katere se nanašajo osebni podatki, nimajo interesa za to, da so obveščeni o prenosu podatkov, saj njihove pravice niso kršene.

46.

Najprej ni odveč opozoriti, da je psevdonimizacija obdelava, ki se uporablja za osebne podatke, da se v skladu z uvodno izjavo 17 Uredbe 2018/1725 „zmanjša tveganje“ za povezavo niza podatkov z identiteto posameznika, na katerega se nanašajo osebni podatki, in „pomaga upravljavcem in obdelovalcem pri izpolnjevanju obveznosti glede varstva podatkov“.

47.

V členu 3, točka 6, Uredbe 2018/1725 je psevdonimizacija tako opredeljena kot „obdelav[a] osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, [pri čemer] se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku“. ( 20 )

48.

Psevdonimizacija torej ni element opredelitve osebnih podatkov, ki so v členu 3, točka 1, Uredbe 2018/1725 opredeljeni z vidika pojma „določljivosti“ posameznika, na katerega se nanašajo osebni podatki. Kot je poleg tega Komisija navedla v intervencijski vlogi, ta uredba opredeljuje pojem „psevdonimizacija“, s čimer tako napotuje na postopek uvedbe zaščitnega ukrepa ali tehničnega in organizacijskega ukrepa, ne opredeljuje pa pojma „psevdonimizirani podatki“.

49.

Ta razlaga je skladna s povezano razlago člena 3, točka 6, in uvodne izjave 16 navedene uredbe, v katere prvem stavku je opozorjeno, da bi se „[n]ačela varstva podatkov […] morala uporabljati za vse informacije v zvezi z določenim ali določljivim posameznikom“.

50.

Poleg tega je treba podrobneje analizirati uvodno izjavo 16 Uredbe 2018/1725. ( 21 ) Vsebuje namreč drugi stavek, v katerem je navedeno, da bi bilo treba „[o]sebne podatke, ki so bili psevdonimizirani in ki jih je mogoče z uporabo dodatnih informacij pripisati posamezniku, […] obravnavati kot informacije o določljivem posamezniku“. Temu sledita tretji in četrti stavek, v katerih je pojasnjena vsebina te zahteve po določljivosti.

51.

Iz besedila teh določb sklepam, da psevdonimizacija pušča odprto možnost, da posamezniki, na katere se nanašajo osebni podatki, niso določljivi, saj brez tega ne bi bilo razloga za obstoj te uvodne izjave 16. Dodati moram, da zadnja stavka navedene uvodne izjave v zvezi z anonimizacijo potrjujeta to razlago: anonimizirane podatke izključujeta s področja uporabe Uredbe 2018/1725 ( 22 ), medtem ko psevdonimizirane podatke izključujeta le, če posamezniki, na katere se nanašajo osebni podatki, niso določljivi. Če navedenih posameznikov ni mogoče identificirati, se torej pravno štejejo za dovolj zaščitene s postopkom psevdonimizacije, kljub temu, da dodatni podatki, ki omogočajo individualno prepoznavanje, niso bili v celoti izbrisani.

52.

Povedano drugače, ne gre za samodejno izvzetje psevdonimiziranih podatkov s področja uporabe te uredbe. ( 23 ) Vendar ob upoštevanju uvodne izjave 16 te uredbe ni mogoče izključiti, da so taki podatki pod določenimi pogoji lahko izvzeti iz pojma „osebni podatki“.

53.

V nasprotju s tem, kar trdi ENVP, se mi tak pristop ne zdi v nasprotju s ciljem zagotavljanja visoke ravni varstva osebnih podatkov, zlasti ob upoštevanju zahtev po določljivosti iz določb, ki se uporabljajo, na eni strani in njihove razlage v sodni praksi na drugi.

54.

Prvič, uvodna izjava 16 Uredbe 2018/1725 se nanaša na to, da upravljavec „ali druga oseba“ lahko identificira posameznika: ta širok, čeprav ne neomejen pojem ( 24 ) je del pristopa, s katerim se varujejo osebni podatki.

55.

Prav tako je v uvodni izjavi 16 navedeno, da je treba upoštevati sredstva, za katera se lahko razumno pričakuje, da bodo uporabljena za neposredno ali posredno identifikacijo posameznika, pri čemer je treba upoštevati vse objektivne dejavnike, kot so stroški identifikacije in čas, potreben zanjo, ob upoštevanju razpoložljive tehnologije in tehnološkega razvoja v času obdelave, kar pomeni široko in varovalno opredelitev osebnih podatkov.

56.

Drugič, razlaga tega pojma „določljivost“ v sodni praksi, usmerjena na tveganje ponovne identifikacije posameznikov, na katere se nanašajo osebni podatki, omogoča tudi širšo uporabo pojma „osebni podatki“. Sodišče je tako kot „osebne podatke“ sistematično opredeljevalo podatke, ki lahko – čeprav so ločeni od podatkov, ki omogočajo individualno prepoznavanje, ki so v rokah koga drugega – v zadevnem kontekstu povzročijo tveganje, da bodo posamezniki, na katere se nanašajo osebni podatki, ponovno identificirani. ( 25 )

57.

Tako je lahko podatek pravno izvzet iz opredelitve „osebnega podatka“ le, če je tveganje za identifikacijo neobstoječe ali nepomembno ( 26 ).

58.

Trditve ENVP in Evropskega odbora za varstvo podatkov v zvezi z nevarnostmi, ki izhajajo iz preozke razlage osebnih podatkov, me ne prepričajo. Dejstvo, da se pravila, ki izhajajo iz Uredbe 2018/1725, ne uporabljajo za podatke v zvezi z nedoločljivimi posamezniki, namreč ne bi preprečevalo, da se po potrebi uveljavlja pravna odgovornost subjektov, ki bi storili nezakonita dejanja, na primer v primeru razkritja podatkov, zaradi katerega nastane škoda. Nasprotno, zdi se mi nesorazmerno, da se subjektu, ki ne bi mogel razumno identificirati posameznikov, na katere se nanašajo osebni podatki, naložijo obveznosti iz Uredbe 2018/1725, ( 27 ) ki jih ta subjekt hipotetično ne bi mogel izpolnjevati ali zaradi katerih bi pravzaprav moral poskusiti identificirati posameznike, na katere se nanašajo osebni podatki.

59.

Ob upoštevanju teh preudarkov menim, da je bilo treba, če spor analiziramo z vidika podatkov, kot so bili posredovani družbi Deloitte, v nasprotju s tem, kar trdi ENVP, ugotoviti, ali je bila psevdonimizacija zadevnih podatkov dovolj zanesljiva, da se lahko ugotovi, da pritožnikov, ki so avtorji informacij, posredovanih družbi Deloitte, ni bilo mogoče razumno identificirati. Povedano drugače, v tem kontekstu bi se lahko štelo, da družba Deloitte, če bi imela na voljo razumna sredstva za identifikacijo navedenih pritožnikov, obdeluje osebne podatke.

60.

Prvi očitek ENVP je torej treba po mojem mnenju zavrniti.

61.

Po mnenju ENVP, ki ga podpira Evropski odbor za varstvo podatkov, so zadevni psevdonimizirani podatki za EOR osebni podatki, zato je za EOR veljala obveznost, da posameznike, na katere se nanašajo osebni podatki, obvesti o uporabniku. V bistvu ENVP trdi, da je Splošno sodišče napačno razlagalo sodbo Breyer, ki se nanaša na drugačen dejanski položaj.

62.

Nasprotno pa je po mnenju EOR, ki ga podpira Komisija, primerjava s sodbo Breyer upoštevna in vodi k odločitvi, da obveznost obveščanja velja le, če so posredovani podatki osebni podatki z vidika uporabnika, v tem primeru družbe Deloitte, kar v obravnavani zadevi, kot je pravilno ugotovilo Splošno sodišče, ni bilo dokazano.

63.

Menim, da obveznost obveščanja iz člena 15(1)(d) Uredbe 2018/1725 in vzporednost s sodbo Breyer v obravnavani zadevi vodita k drugačni rešitvi od tiste, ki jo je sprejelo Splošno sodišče, kar bom predstavil v okviru analize tega očitka.

64.

Člen 4(1)(a) Uredbe 2018/1725 določa zahtevo po zakoniti, pošteni in pregledni obdelavi podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki.

65.

Natančneje, člen 15(1)(d) te uredbe določa, da kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec posameznike, na katere se nanašajo osebni podatki, „takrat, ko pridobi osebne podatke“, obvesti o morebitnih uporabnikih teh podatkov. Očitno je torej, da mora upravljavec te informacije posredovati takoj, in sicer ob zbiranju podatkov. ( 28 )

66.

Pomen spoštovanja take obveznosti obveščanja je prav tako potrjen z uvodno izjavo 35 Uredbe 2018/1725, v kateri je navedeno, da načeli poštene in pregledne obdelave zahtevata, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti o obstoju obdelave in namenih te obdelave, pri čemer je treba poudariti, da bi moral upravljavec zagotoviti vse dodatne informacije, potrebne za zagotavljanje poštene in pregledne obdelave ob upoštevanju specifičnih okoliščin in okvira obdelave osebnih podatkov. ( 29 )

67.

Taka obveznost obveščanja je še toliko pomembnejša, ker je veljavnost privolitve posameznika, na katerega se nanašajo osebni podatki, med drugim odvisna od tega, ali je ta posameznik predhodno pridobil informacije v zvezi z vsemi okoliščinami obdelave zadevnih podatkov, do katerih je bil upravičen na podlagi členov 14 in 15 Uredbe 2018/1725 in ki mu omogočajo, da privolitev poda ob popolnem poznavanju dejstev. ( 30 )

68.

Dodati moram, da se edina izjema od te obveznosti obveščanja, določena v členu 15(4) Uredbe 2018/1725, nanaša na primer, v katerem posameznik, na katerega se nanašajo osebni podatki, že ima zadevne informacije.

69.

Iz tega sklepam, da v obravnavani zadevi ta obveznost obveščanja spada v okvir pravnega razmerja, ki obstaja med posamezniki, na katere se nanašajo osebni podatki, v tem primeru pritožniki, na eni strani in EOR kot upravljavcem na drugi strani, in ne v okvir razmerja med EOR in uporabnikom, to je družbo Deloitte. Obveznost obveščanja se torej nanaša na podatke, kot jih je imel EOR pred posredovanjem družbi Deloitte. Pri tem ni sporno, da gre za osebne podatke, saj ima EOR pripombe in bazo za identifikacijo oseb, ki so podale te pripombe.

70.

Tak pristop „upoštevnega vidika“ ( 31 ) me torej vodi k drugačni rešitvi od tiste, ki jo je uporabilo Splošno sodišče, tudi če opravim primerjavo s sodbo Breyer.

71.

Opozoriti moram, da je v sporu, v katerem je bilo v navedeni sodbi postavljeno vprašanje za predhodno odločanje, P. Breyer želel, da se upravljavcu (Zvezna republika Nemčija) prepove, da shrani njegov dinamični IP-naslov. Dodatne informacije, ki so omogočale njegovo identifikacijo prek IP-naslova, povezanega z njegovim računalnikom, niso bile v rokah upravljavca, ampak v rokah ponudnika internetnega dostopa. Postavljalo se je torej vprašanje, ali je dinamični IP-naslov, ki ga je imel upravljavec, lahko opredeljen kot „osebni podatek“ in zato v okviru pravnega razmerja med P. Breyerjem in navedenim upravljavcem lahko sproži obveznosti na področju hrambe, ki so naložene temu upravljavcu, čeprav so bili elementi za identifikacijo P. Breyerja v rokah druge osebe, in ne upravljavca. V bistvu je bilo odločeno, da upravljavec, čeprav nima na voljo dodatnih informacij, ki omogočajo individualno prepoznavanje, lahko razumno dostopa do teh informacij, dinamični IP-naslov pa je bil torej opredeljen kot „osebni podatek“.

72.

V obravnavani zadevi, kot je bilo opozorjeno zgoraj, ( 32 ) obveznost obveščanja spada v okvir razmerja med posamezniki, na katere se nanašajo osebni podatki (pritožniki), in upravljavcem (EOR): obveznost obveščanja nastopi, kadar EOR zbere zadevne podatke in, kar zadeva zlasti informacijo o uporabniku, najpozneje takrat, ko je ta uporabnik znan. Ko pa se ta trenutek uresniči, so zadevni podatki osebni podatki v rokah EOR, ki ima na voljo dodatne informacije, ki omogočajo individualno prepoznavanje. Ob upoštevanju zadevne obveznosti obveščanja in trenutka, ko ta obveznost nastane, so zadevni podatki torej osebni podatki, neodvisno od tega, ali so določljivi za družbo Deloitte, ki je ne zadeva ne pravno razmerje med pritožniki in EOR, ki je edino upoštevno, ne ta obveznost obveščanja, naložena EOR.

73.

Zdi se mi, da je treba v obravnavani zadevi tu relativizirati vzporednost s sodbo Breyer.

74.

Iz tega sledi, da je obveznost obveščanja naložena EOR kot upravljavcu zaradi njegovega razmerja s pritožniki, od katerih je zbral zadevne podatke, in to neodvisno od tega, ali so podatki, kot so bili posredovani družbi Deloitte, osebni ali ne.

75.

Trditev EOR, ponovljena na obravnavi, da je upošteven vidik uporabnika, ker je treba preveriti, ali je „uporabnik osebnih podatkov“ ali ne, je treba po tej logiki zavrniti.

76.

V zvezi s tem sicer drži, da besedilo člena 15(1)(d) Uredbe 2018/1725, ki se nanaša na „uporabnike […] osebnih podatkov“, lahko povzroči zmedo. Vendar polni učinek te določbe zahteva, da se informacija posameznikom, na katere se nanašajo osebni podatki, posreduje čim prej in pred navedenim prenosom podatkov. ( 33 ) V obravnavani zadevi, tudi če EOR pri prvotnem zbiranju pripomb ni imel namena zaprositi družbo Deloitte za mnenje, da bi izvedel, ali te pripombe spreminjajo vrednotenje 3, je iz spornega sklepa pred Splošnim sodiščem razvidno, da je družba Deloitte pomagala EOR v okviru postopka v zvezi s pravico do izjave. ( 34 ) Poleg tega se lahko šteje, da je namen EOR, da psevdonimizirane podatke posreduje družbi Deloitte, obstajal najpozneje v trenutku, ko je bila sprejeta odločitev o obdelavi zadevnih pripomb prav za namene njihove psevdonimizacije, ( 35 ) brez česar psevdonimizacija ne bi bila upravičena.

77.

Menim torej, da dejstvo, da je bilo spoštovanje obveznosti obveščanja preverjeno v trenutku, ko je EOR posredoval podatke družbi Deloitte, gledajoč z njenega vidika uporabnika, da se zadevni podatki opredelijo kot osebni ali ne, privede do preložitve navedenega preverjanja. To preverjanje bi bilo zato napačno preloženo, ker bi bilo opravljeno v zvezi s podatki, ki so že bili posredovani uporabniku, medtem ko se obveznost obveščanja nanaša na razmerje med EOR in pritožniki, njen namen pa je omogočiti informirano privolitev pritožnikov pred prenosom.

78.

Poleg tega, kar zadeva privolitev pritožnikov, se njihovo sodelovanje v postopku v zvezi s pravico do izjave res lahko razlaga kot implicitna privolitev v izmenjavo osebnih podatkov z upravljavcem, da bi se upoštevale njihove pripombe. To po mojem mnenju vseeno ne more zadostovati za to, da bi pomenilo informirano privolitev za namene psevdonimizacije podatkov in njihovega posredovanja družbi Deloitte, ne da bi jih EOR o tem predhodno obvestil. ( 36 )

79.

Iz tega izhaja, da je po mojem mnenju v obravnavani zadevi obveznost obveščanja, ki je naložena EOR, veljala pred prenosom zadevnih podatkov in neodvisno od tega, ali so v rokah družbe Deloitte to osebni podatki ali ne.

80.

Zato se mi to, ali je psevdonimizacija dovolj zanesljiva in učinkovita, tako da se lahko ugotovi, ali so podatki v rokah družbe Deloitte osebni podatki ali ne, nazadnje ne zdi upoštevno z vidika obveznosti obveščanja, ki je naložena EOR.

81.

Posledično je bilo treba obveznost obveščanja, ki je naložena EOR kot upravljavcu, v obravnavani zadevi upoštevati in zato je treba izpodbijano sodbo razveljaviti zaradi napačne uporabe prava.

82.

Ker vidik uporabnika zadevnih podatkov, kar zadeva obveznost obveščanja iz člena 15(1)(d) Uredbe 2018/1725, ni upošteven, so trditve strank, da lahko družba Deloitte z zakonitimi in izvedljivimi sredstvi identificira posameznike, na katere se nanašajo osebni podatki, brezpredmetne in jih torej ni treba preučiti.

83.

Če se Sodišče ne bi strinjalo s tem, podredno navajam, da ENVP v zvezi s tem izpodbija ugotovitev Splošnega sodišča, da družba Deloitte nima dostopa do podatkov, ki omogočajo individualno prepoznavanje. Opira se zlasti na podizvajalsko pogodbeno razmerje, ki naj bi obstajalo med EOR in družbo Deloitte. EOR in Komisija trdita, da ENVP s tem navaja nove dejanske trditve, ki so v fazi pritožbe nedopustne. S tem se strinjam. Obstoj pogodbenega razmerja med EOR in družbo Deloitte, ki bi dokazovalo, da družba Deloitte lahko EOR zaprosi za identifikacijo pritožnikov, namreč pomeni novo trditev, o kateri se Splošno sodišče poleg tega nikakor ni izreklo. Iz tega sledi, da bi bilo treba te trditve po potrebi zavreči kot nedopustne na podlagi člena 170(1), drugi stavek, Poslovnika Sodišča, v skladu s katerim pritožba ne more spreminjati predmeta spora pred Splošnim sodiščem. ( 37 )

84.

ENVP, ki ga podpira Evropski odbor za varstvo podatkov, z drugim pritožbenim razlogom, ki se nanaša na kršitev načela odgovornosti iz člena 4(2) in člena 26(1) Uredbe 2018/1725, trdi, da je Splošno sodišče napačno odločilo, da mora dokazati, da informacije, posredovane družbi Deloitte, pomenijo osebne podatke, kar je v nasprotju z načelom odgovornosti EOR.

85.

Glede na navedeno, zlasti glede na točki 81 in 82 teh sklepnih predlogov, menim, da drugega pritožbenega razloga ni treba preučiti.

86.

Zato ga bom samo podredno na kratko obravnaval.

87.

V zvezi z dopustnostjo – ki jo EOR izpodbija – tega pritožbenega razloga, ki ni bil naveden pred Splošnim sodiščem, moram opozoriti, da pritožnik lahko vloži pritožbo, v kateri se sklicuje na razloge, ki izhajajo iz same izpodbijane sodbe in s katerimi izpodbija njeno utemeljenost s pravnega vidika. ( 38 ) Zdi se mi, da to velja za ta pritožbeni razlog, ki je torej dopusten.

88.

Kar zadeva vsebino, je treba opozoriti, da je Splošno sodišče razsodilo, da ENVP ni preveril, ali ima družba Deloitte v praksi na voljo zakonita in izvedljiva sredstva, ki bi ji omogočala dostop do dodatnih informacij, potrebnih za ponovno identifikacijo pritožnikov, zato ni mogel ugotoviti, da gre v primeru informacij, ki so bile posredovane družbi Deloitte, za informacije, ki se nanašajo na „določljivega posameznika“ v smislu člena 3, točka 1, Uredbe 2018/1725.

89.

ENVP, ki ga podpira Evropski odbor za varstvo podatkov, v bistvu trdi, da bi Splošno sodišče moralo preveriti, ali je EOR kot upravljavec dokazal, da je anonimiziral sporne podatke v razmerju do družbe Deloitte.

90.

EOR izpodbija to trditev in navaja, da se načelo odgovornosti uporablja le za osebne podatke in da so bili v obravnavani zadevi podatki, ki jih je imela v rokah družba Deloitte, anonimizirani.

91.

Komisija trdi, da ENVP najprej nosi razumno dokazno breme, da na podlagi razpoložljivih dokazov dokaže obstoj osebnih podatkov. Nato naj bi moral zadevni upravljavec to ugotovitev ovreči s predložitvijo dodatnih dokazov.

92.

Naj spomnim, da morajo biti v skladu s členom 4(1)(a) Uredbe 2018/1725 osebni podatki obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki. Člen 4(2) te uredbe določa, da je „[u]pravljavec […] odgovoren za skladnost z odstavkom 1 in mora biti to skladnost zmožen dokazati“. Tako iz načela odgovornosti, določenega v členu 4(2) in pojasnjenega v členu 26(1) navedene uredbe, izhaja, da mora biti upravljavec zmožen dokazati, da spoštuje načela v zvezi z obdelavo osebnih podatkov, določena v členu 4(1). ( 39 )

93.

Če bi upravljavec predložil zadostne dokaze v tem smislu, bi se lahko štelo, da je zadostil dokaznemu bremenu, ki mu je naloženo. ( 40 )

94.

V obravnavani zadevi se mi zdi, da je EOR navedel več dejanskih okoliščin (zlasti postopke filtriranja, kategorizacije in združevanja pripomb, opisane v spornem sklepu in izpodbijani sodbi), da bi v skladu z načelom odgovornosti, ki velja zanj, dokazal, da družba Deloitte ni mogla identificirati posameznikov, na katere se nanašajo osebni podatki.

95.

ENVP je pred Splošnim sodiščem v zvezi s tem navedel načelno stališče, da je treba upoštevati vidik EOR, in ne družbe Deloitte, ter tako pripombe, posredovane družbi Deloitte, opredeliti kot „osebne podatke“.

96.

Če se za potrebe podredne preučitve tega pritožbenega razloga dopusti, da je v obravnavani zadevi upošteven vidik družbe Deloitte, ( 41 ) bi se lahko štelo, da mora ENVP, kot je odločilo Splošno sodišče, dokazati ( 42 ), iz katerega razloga – pravnega ali tehničnega – postopek psevdonimizacije, ki ga je v obravnavani zadevi izvedel EOR, ni zadosten in bi bilo treba zato ugotoviti, da je družba Deloitte obdelala osebne podatke.

97.

Menim torej, da bi bilo treba po potrebi potrditi izpodbijano sodbo v zvezi s tem drugim pritožbenim razlogom.

98.

Na podlagi člena 61, prvi odstavek, Statuta Sodišča Evropske unije lahko Sodišče, če je pritožba utemeljena, razveljavi odločitev Splošnega sodišča. Če stanje postopka to dovoljuje, lahko samo dokončno odloči o zadevi ali pa jo vrne v razsojanje Splošnemu sodišču.

99.

Prvi tožbeni razlog, ki ga je EOR zoper sporni sklep uveljavljal pred Splošnim sodiščem, se nanaša na kršitev člena 3, točka 1, Uredbe 2018/1725. Iz točk od 63 do 82 teh sklepnih predlogov izhaja, da ker EOR ni izpolnil obveznosti obveščanja, ki jo ima na podlagi člena 15(1)(d) Uredbe 2018/1725, bi bilo treba sporni sklep po mojem mnenju potrditi.

100.

Nasprotno pa se mi zdi, da stanje postopka ne dovoljuje, da se odloči o drugem tožbenem razlogu, v skladu s katerim je ENVP kršil pravico do dobrega upravljanja v okviru postopka, ki je privedel do sprejetja spornega sklepa.

101.

EOR namreč zlasti trdi, da je ENVP v okviru upravnega postopka pred sprejetjem spornega sklepa kršil njegovo pravico do vpogleda v spis, pravico do izjave in načelo enakosti orožij s tem, da mu je na eni strani zavrnil vpogled v spis in mu na drugi strani ni sporočil pripomb pritožnikov ali njihove vsebine.

102.

Splošno sodišče pa je menilo, da ker je bil prvi tožbeni razlog sprejet, drugega tožbenega razloga ni treba preučiti. Zato stanje postopka ne dovoljuje, da se odloči o tem tožbenem razlogu, ki vključuje predvsem presoje dejanskega stanja. Zdi se mi torej, da je treba zadevo vrniti v razsojanje Splošnemu sodišču, da to odloči o tem, odločitev o stroških pa pridržati.

103.

Glede na navedeno Sodišču predlagam, naj: