This document is an excerpt from the EUR-Lex website
Document 62023CJ0413
Judgment of the Court (First Chamber) of 4 September 2025.#European Data Protection Supervisor v Single Resolution Board.#Appeal – Protection of natural persons with regard to the processing of personal data – Procedure for granting compensation to shareholders and creditors of a banking institution following the resolution of that institution – Decision of the European Data Protection Supervisor finding that the Single Resolution Board failed to fulfil its obligations relating to the processing of personal data – Regulation (EU) 2018/1725 – Article 15(1)(d) – Obligation to inform the data subject – Transmission of pseudonymised data to a third party – Article 3(1) – Concept of ‘personal data’ – Article 3(6) – Concept of ‘pseudonymisation’.#Case C-413/23 P.
Domstolens dom (första avdelningen) av den 4 september 2025.
Europeiska datatillsynsmannen mot Gemensamma resolutionsnämnden.
Överklagande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förfarande angående beviljande av ersättning till en banks aktieägare och borgenärer efter resolution av banken – Beslut av Europeiska datatillsynsmannen i vilket det konstateras att Gemensamma resolutionsnämnden har åsidosatt sina skyldigheter i fråga om behandling av personuppgifter – Förordning (EU) 2018/1725 – Artikel 15.1 d – Skyldighet att lämna information till den registrerade – Pseudonymiserade uppgifter överförs till tredje man – Artikel 3 led 1 – Begreppet personuppgifter – Artikel 3 led 6 – Begreppet pseudonymisering.
Mål C-413/23 P.
Domstolens dom (första avdelningen) av den 4 september 2025.
Europeiska datatillsynsmannen mot Gemensamma resolutionsnämnden.
Överklagande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förfarande angående beviljande av ersättning till en banks aktieägare och borgenärer efter resolution av banken – Beslut av Europeiska datatillsynsmannen i vilket det konstateras att Gemensamma resolutionsnämnden har åsidosatt sina skyldigheter i fråga om behandling av personuppgifter – Förordning (EU) 2018/1725 – Artikel 15.1 d – Skyldighet att lämna information till den registrerade – Pseudonymiserade uppgifter överförs till tredje man – Artikel 3 led 1 – Begreppet personuppgifter – Artikel 3 led 6 – Begreppet pseudonymisering.
Mål C-413/23 P.
ECLI identifier: ECLI:EU:C:2025:645
Preliminär utgåva
DOMSTOLENS DOM (första avdelningen)
den 4 september 2025 (*)
” Överklagande – Skydd för fysiska personer med avseende på behandling av personuppgifter – Förfarande angående beviljande av ersättning till en banks aktieägare och borgenärer efter resolution av banken – Beslut av Europeiska datatillsynsmannen i vilket det konstateras att Gemensamma resolutionsnämnden har åsidosatt sina skyldigheter i fråga om behandling av personuppgifter – Förordning (EU) 2018/1725 – Artikel 15.1 d – Skyldighet att lämna information till den registrerade – Pseudonymiserade uppgifter överförs till tredje man – Artikel 3 led 1 – Begreppet personuppgifter – Artikel 3 led 6 – Begreppet pseudonymisering ”
I mål C‑413/23 P,
angående ett överklagande enligt artikel 56 i stadgan för Europeiska unionens domstol, som ingavs den 5 juli 2023,
Europeiska datatillsynsmannen (EDPS), inledningsvis företrädd av P. Candellier, G. Devin, X. Lareo, D. Nardi och T. Zerdick, därefter av P. Candellier, X. Lareo, D. Nardi, N. Stolić och T. Zerdick, samtliga i egenskap av ombud,
klagande,
med stöd av:
Europeiska dataskyddsstyrelsen, företrädd av C. Foglia, M. Gufflet, G. Le Grand och I. Vereecken, samtliga i egenskap av ombud, biträdda av E. de Lophem, avocat, G. Ryelandt, advocaat, och P. Vernet, avocat,
intervenient i andra instans,
i vilket den andra parten är:
Gemensamma resolutionsnämnden (SRB), företrädd av H. Ehlers, M. Fernández Rupérez och A. Lapresta Bienz, samtliga i egenskap av ombud, biträdda av M. Braun och H.-G. Kamann, Rechtsanwälte, samt F. Louis, avocat,
sökande i första instans,
med stöd av:
Europeiska kommissionen, företrädd av A. Bouchagiar och H. Kranenborg, båda i egenskap av ombud,
intervenient i andra instans,
meddelar
DOMSTOLEN (första avdelningen)
sammansatt av avdelningsordföranden F. Biltgen, domstolens vice ordförande T. von Danwitz (referent), tillika tillförordnad domare på första avdelningen, samt domarna A. Kumin, I. Ziemele och S. Gervasoni,
generaladvokat: D. Spielmann,
justitiesekreterare: handläggaren M. Longar,
efter det skriftliga förfarandet och förhandlingen den 7 november 2024,
och efter att den 6 februari 2025 ha hört generaladvokatens förslag till avgörande,
följande
Dom
1 Europeiska datatillsynsmannen (EDPS) har yrkat att domstolen ska upphäva den dom som meddelades av Europeiska unionens tribunal den 26 april 2023, SRB/EDPS (T‑557/20, EU:T:2023:219) (nedan kallad den överklagade domen). Genom denna dom ogiltigförklarade tribunalen Europeiska datatillsynsmannens ändrade beslut av den 24 november 2020, som antogs till följd av Gemensamma resolutionsnämndens (SRB) begäran om omprövning av Europeiska datatillsynsmannens beslut av den 24 juni 2020 om fem klagomål som lämnats in av flera klagande (ärendena 2019-947, 2019-998, 2019-999, 2019-1000 och 2019-1122) (nedan kallat det omtvistade beslutet).
I. Tillämpliga bestämmelser
2 Skälen 5, 16, 17 och 35 i Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 2018, s. 39) har följande lydelse:
”(5) För att främja en konsekvent strategi för skyddet av personuppgifter i hela [Europeiska] unionen och för det fria flödet av personuppgifter inom unionen är det viktigt att så långt som möjligt anpassa de regler om skydd av personuppgifter som gäller för unionens institutioner, organ och byråer till de regler om skydd för personuppgifter som har antagits för den offentliga sektorn i medlemsstaterna. När en bestämmelse i denna förordning följer samma principer som en bestämmelse i [Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s.1) (nedan kallad den allmänna dataskyddsförordningen)] bör dessa båda bestämmelser, enligt rättspraxis från [domstolen], tolkas enhetligt, särskilt eftersom den systematik som denna förordning bygger på bör uppfattas som en motsvarighet till systematiken bakom förordning (EU) 2016/679.
…
(16) Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, dvs. information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål.
(17) Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för dataskydd.
…
(35) Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt om konsekvenserna av sådan profilering. Om personuppgifterna samlas in från den registrerade, bör den registrerade även informeras om huruvida han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna om han eller hon inte lämnar dem. Denna information får tillhandahållas tillsammans med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt bör de vara maskinläsbara.”
3 Artikel 3 i förordning 2018/1725 har rubriken ”Definitioner”. I leden 1, 6, 8 och 13 i denna artikel anges följande:
”I denna förordning avses med
1) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad den registrerade); varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
…
6) pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.
…
8) personuppgiftsansvarig: den unionsinstitution eller det unionsorgan eller det generaldirektorat eller varje annan organisatorisk enhet som ensam(t) eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för denna behandling bestäms av en särskild unionsakt kan den personuppgiftsansvarige eller de särskilda kriterierna för utnämning av personuppgiftsansvarig föreskrivas i unionsrätten.
…
13) mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som personuppgifterna utlämnas till, oavsett om det rör sig om en tredje part eller inte; offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte.”
4 Artikel 4 i denna förordning har rubriken ”Principer för behandling av personuppgifter”. I punkt 2 i den artikeln föreskrivs följande:
”Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).”
5 Artikel 14 i denna förordning har rubriken ”Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter”. I punkt 1 i denna artikel föreskrivs följande:
”Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att tillhandahålla den registrerade all information som avses i artiklarna 15 och 16 och all kommunikation enligt artiklarna 17–24 och 35 vilken avser behandling i en koncis, klar och tydlig, begriplig och lättillgänglig form och på ett klart och tydligt språk, i synnerhet information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligen, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerades begär det får informationen tillhandahållas muntligen, förutsatt att den registrerades identitet bevisats på andra sätt.”
6 I artikel 15 i samma förordning, med rubriken ”Information som ska tillhandahållas när personuppgifter samlas in från den registrerade”, föreskrivs följande:
”1. Om personuppgifter som rör en registrerad person samlas in från den registrerade ska den personuppgiftsansvarige, vid den tidpunkt då personuppgifterna erhålls, till den registrerade lämna information om följande:
…
d) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.
…
2. Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personuppgifterna tillhandahålla den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och öppen behandling:
a) Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
b) Förekomsten av rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller, i tillämpliga fall, rätt att invända mot behandling eller rätt till dataportabilitet.
…
e) Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt om huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas.
…”
7 I artikel 24 i förordning 2018/1725 fastställs på vilka villkor ett individuellt beslut kan grundas på automatiserad behandling, inbegripet profilering.
8 Artikel 26 i denna förordning har rubriken ”Den personuppgiftsansvariges ansvar”. I punkt 1 i denna artikel föreskrivs följande:
”Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.”
II. Bakgrund till tvisten
9 Bakgrunden till tvisten återges i punkterna 2–32 i den överklagade domen och kan sammanfattas enligt följande.
10 Den 7 juni 2017 antog SRB:s verkställande session beslut SRB/EES/2017/08 om en resolutionsordning för Banco Popular Español, SA, på grundval av Europaparlamentets och rådets förordning (EU) nr 806/2014 av den 15 juli 2014 om fastställande av enhetliga regler och ett enhetligt förfarande för resolution av kreditinstitut och vissa värdepappersföretag inom ramen för en gemensam resolutionsmekanism och en gemensam resolutionsfond och om ändring av förordning (EU) nr 1093/2010 (EUT L 225, 2014, s. 1) (nedan kallad resolutionsförordningen).
11 I sitt beslut fann SRB att villkoren i artikel 18.1 i resolutionsförordningen var uppfyllda och beslutade att placera Banco Popular Español SA (nedan kallad Banco Popular) under resolution. SRB beslutade därför att skriva ned och konvertera Banco Populars kapitalinstrument i enlighet med artikel 21 i denna förordning och att tillämpa försäljningsverktyget enligt artikel 24 i nämnda förordning genom överlåtelse av aktier till en köpare.
12 Samma dag antog Europeiska kommissionen beslut (EU) 2017/1246 om godkännande av resolutionsordningen för Banco Popular Español SA (EUT L 178, 2017, s. 15).
13 Efter Banco Populars resolution gav SRB revisions- och konsultbyrån Deloitte i uppdrag att göra en värdering av den skillnad i behandling som avses i artikel 20.16–20.18 i resolutionsförordningen, för att kunna bedöma huruvida Banco Populars aktieägare och borgenärer skulle ha behandlats bättre om banken hade blivit föremål för ett normalt insolvensförfarande (nedan kallad värdering 3). Den 14 juni 2018 överlämnade byrån denna värdering till SRB.
14 Den 6 augusti 2018 offentliggjorde SRB på sin webbplats sitt tillkännagivande av den 2 augusti 2018 av sitt preliminära beslut om huruvida ersättning skulle beviljas till de aktieägare och borgenärer som berördes av de resolutionsåtgärder som vidtagits avseende Banco Popular Español, SA och om inledandet av ett förfarande för att låta de berörda utöva rätten att yttra sig (SRB/EES/2018/132) (nedan kallat det preliminära beslutet). Tillsammans med tillkännagivandet offentliggjordes en icke-konfidentiell version av värdering 3. Den 7 augusti 2018 offentliggjordes ett meddelande om detta tillkännagivande i Europeiska unionens officiella tidning (EUT C 277 I, 2018, s. 1).
15 I det preliminära beslutet uppmanade SRB de aktieägare och borgenärer som berördes av Banco Populars resolution (nedan kallade de berörda aktieägarna och borgenärerna) att anmäla sitt intresse av att utöva sin rätt att yttra sig enligt artikel 41.2 a i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan), för att SRB skulle kunna fatta ett slutligt beslut om huruvida de skulle beviljas ersättning i enlighet med artikel 76.1 e i resolutionsförordningen.
A. Förfarandet avseende rätten att yttra sig
16 Enligt uppgifterna i det preliminära beslutet skulle förfarandet avseende rätten att yttra sig genomföras i två faser.
17 I den första fasen (nedan kallad anmälningsfasen) uppmanades berörda aktieägare och borgenärer att anmäla sitt intresse av att utöva rätten att yttra sig genom att fram till den 14 september 2018 fylla i ett onlineformulär. Under denna fas var de berörda aktieägare och borgenärer som ville utöva sin rätt att yttra sig skyldiga att tillhandahålla SRB styrkande handlingar som visade att de vid tidpunkten för resolutionen av Banco Popular innehade ett eller flera kapitalinstrument i denna bank som hade skrivits ned eller konverterats och överlåtits till Banco Santander SA i samband med resolutionen. De styrkande handlingar som skulle tillhandahållas bestod av en identitetshandling och ett bevis på äganderätten till ett av dessa kapitalinstrument den 6 juni 2017. Därefter skulle SRB kontrollera om alla personer som hade anmält sitt intresse faktiskt hade ställning som berörd aktieägare eller borgenär.
18 Den 6 augusti 2018, dagen då anmälningsfasen inleddes, offentliggjorde SRB också, på webbsidan för anmälningar av deltagande i förfarandet avseende rätten att yttra sig och på sin webbplats, ett meddelande om skydd av personuppgifter som rörde behandlingen av personuppgifter inom ramen för detta förfarande (nedan kallat meddelandet om skydd av personuppgifter).
19 I en andra fas (nedan kallad samrådsfasen) kunde de personer vars ställning som berörda aktieägare och borgenärer hade kontrollerats av SRB lämna kommentarer till det preliminära beslutet, till vilket värdering 3 var bifogat. Den 16 oktober 2018 meddelade SRB på sin webbplats att de berörda aktieägarna och borgenärerna från och med den 6 november 2018 skulle uppmanas att lämna skriftliga kommentarer till det preliminära beslutet under samrådsfasen.
20 Den 6 november 2018 skickade SRB via e‑post till berörda aktieägare och borgenärer en unik och personlig länk som gav dem tillgång till ett onlineformulär. Formuläret bestod av sju frågor med begränsat svarsutrymme. De berörda aktieägarna och borgenärerna kunde använda formuläret för att senast den 26 november 2018 lämna kommentarer till det preliminära beslutet samt till den icke-konfidentiella versionen av värdering 3.
21 SRB granskade de relevanta kommentarer till det preliminära beslutet som lämnats av de berörda aktieägarna och borgenärerna. SRB bad Deloitte om att i egenskap av oberoende bedömare granska de relevanta kommentarerna till värdering 3, tillhandahålla SRB ett dokument med sin värdering och att bedöma huruvida värdering 3 fortfarande var aktuell mot bakgrund av dessa kommentarer.
B. Behandlingen av de uppgifter som samlats in av SRB inom ramen för förfarandet avseende rätten att yttra sig
22 De uppgifter som samlades in under anmälningsfasen, det vill säga bevisen för de berörda aktieägarnas och borgenärernas identitet och äganderätten till kapitalinstrument i Banco Popular som skrivits ned eller konverterats och överlåtits, var tillgängliga för ett begränsat antal anställda vid SRB, nämligen de som ansvarade för behandlingen av dessa uppgifter, för att avgöra huruvida dessa aktieägare och borgenärer kunde komma i fråga för ersättning.
23 Den personal vid SRB som ansvarade för behandlingen av de kommentarer som mottagits under samrådsfasen hade inte tillgång till de uppgifter som samlats in under anmälningsfasen, vilket innebar att dessa kommentarer var åtskilda från personuppgifterna om de berörda aktieägare och borgenärer som hade lämnat dem. Personalen i fråga hade inte heller tillgång till den uppgiftsnyckel eller den information som gjorde det möjligt att identifiera en berörd aktieägare eller borgenär med hjälp av en alfanumerisk kod som varje kommentar som hade lämnats via formuläret hade åsatts. Den alfanumeriska koden bestod av ett universellt 33-siffrigt unikt identifieringsnummer som genererades slumpmässigt vid mottagandet av svar på formuläret.
24 I ett första steg gjorde SRB en automatisk filtrering av 23 822 kommentarer, var och en med en unik alfanumerisk kod, som lämnats av 2 855 personer som deltagit i förfarandet. Två algoritmer identifierade 20 101 kommentarer som identiska. I dessa fall ansågs de kommentarer som lämnats först vara de ursprungliga kommentarerna, vilka sedan granskades under analysfasen, medan de identiska kommentarer som inkommit senare identifierades som dubbletter.
25 I ett andra steg identifierade SRB de kommentarer som omfattades av tillämpningsområdet för förfarandet avseende rätten att yttra sig, eftersom de kunde ha betydelse för det preliminära beslutet eller värdering 3. Därefter delade SRB upp dessa kommentarer mellan dem som SRB skulle granska, eftersom de avsåg det preliminära beslutet, och de kommentarer som Deloitte skulle granska på grund av att de avsåg värdering 3. I slutet av detta steg identifierade SRB 3 730 kommentarer, som den klassificerade utifrån deras relevans och tema.
26 I ett tredje steg behandlade SRB kommentarerna till det preliminära beslutet medan de kommentarer som avsåg värdering 3, närmare bestämt 1 104 kommentarer, den 17 juni 2019 överfördes till Deloitte via en säker virtuell dataserver som var avsedd för SRB. SRB laddade upp de filer som skulle översändas till Deloitte på denna server och gav åtkomst till dessa filer till ett begränsat och kontrollerat antal anställda vid Deloitte, nämligen de som var direkt involverade i granskningen av kommentarerna avseende värdering 3.
27 De kommentarer som översändes till Deloitte filtrerades, klassificerades och sammanställdes. I de fall det rörde sig om kopior av tidigare kommentarer översändes endast en enda version till Deloitte, vilket innebär att de enskilda kommentarer som hade kopierats inte kunde särskiljas inom ett och samma tema och att Deloitte inte kunde veta om en kommentar hade lämnats av en eller flera deltagare i förfarandet avseende rätten att yttra sig.
28 Det var endast de kommentarer som hade inkommit under samrådsfasen som översändes till Deloitte. Dessa hade åsatts en alfanumerisk kod. SRB var emellertid den enda som med hjälp av denna kod kunde koppla samman kommentarerna med uppgifterna, däribland identifieringsuppgifterna för de personer som hade lämnat kommentarer under anmälningsfasen. Den alfanumeriska koden utvecklades för kontrolländamål, för att kunna kontrollera och eventuellt i ett domstolsförfarande visa att varje kommentar hade behandlats och vederbörligen beaktats. Deloitte hade inte tillgång till den databas som innehöll de uppgifter som samlats in under anmälningsfasen eller under förfarandet avseende rätten att yttra sig och hade fortfarande inte tillgång till den när den överklagade domen meddelades.
C. Förfarandet vid Europeiska datatillsynsmannen
29 Under oktober och december 2019 ingav berörda aktieägare och borgenärer som hade besvarat formuläret fem klagomål till datatillsynsmannen enligt förordning 2018/1725. De gjorde i klagomålen gällande att artikel 15.1 d i denna förordning hade åsidosatts, eftersom SRB inte hade informerat dem om att de uppgifter som samlades in genom svaren på formuläret skulle översändas till tredje man, det vill säga Deloitte och Banco Santander, vilket stred mot meddelandet om skydd av personuppgifter.
30 Efter ett förfarande under vilket SRB, på begäran av Europeiska datatillsynsmannen, lämnade olika förklaringar och klagandena inkom med synpunkter antog den sistnämnde den 24 juni 2020 ett beslut avseende fem klagomål som getts in av olika klagande mot Gemensamma resolutionsnämnden (ärendena 2019-947, 2019-998, 2019-999, 2019-1000 och 2019-1122) (nedan kallat det ursprungliga beslutet). Europeiska datatillsynsmannen ansåg i detta beslut att SRB hade brutit mot artikel 15 i förordning 2018/1725 genom att SRB i meddelandet om skydd av personuppgifter inte hade informerat klagandena om att deras personuppgifter kunde komma att lämnas ut till Deloitte. Europeiska datatillsynsmannen utfärdade därför reprimander till SRB för denna överträdelse med stöd av artikel 58.2 b i denna förordning.
31 Den 22 juli 2020 begärde SRB att Europeiska datatillsynsmannen skulle ompröva det ursprungliga beslutet i enlighet med artikel 18.1 i Europeiska datatillsynsmannens beslut av den 15 maj 2020 om antagande av dess arbetsordning (EUT L 204, 2020, s. 49). SRB tillhandahöll bland annat en detaljerad beskrivning av förfarandet för att låta de berörda utöva rätten att yttra sig och av analysen av de kommentarer som fyra av de identifierade klagandena hade lämnat under samrådsfasen. SRB gjorde gällande att de uppgifter som hade översänts till Deloitte inte utgjorde personuppgifter i den mening som avses i artikel 3 led 1 i förordning 2018/1725.
32 Den 5 augusti 2020 meddelade Europeiska datatillsynsmannen SRB om att datatillsynsmannen, mot bakgrund av de nya uppgifter som framkommit, hade beslutat att ompröva det ursprungliga beslutet och att den skulle anta ett beslut som skulle ersätta detta beslut.
33 Efter omprövningsförfarandet, under vilket klagandena inkommit med yttranden och SRB lämnat kompletterande uppgifter på begäran av Europeiska datatillsynsmannen, antog datatillsynsmannen den 24 november 2020 det ändrade beslutet.
34 Europeiska datatillsynsmannen ändrade genom detta beslut det ursprungliga beslutet på följande sätt:
”1. Europeiska datatillsynsmannen anser att de uppgifter som SRB har delat med Deloitte var pseudonymiserade uppgifter, dels på grund av att kommentarerna i [samråds]fasen var personuppgifter, dels på grund av att SRB delade den alfanumeriska kod som gjorde det möjligt att sammankoppla de svar som hade lämnats under [anmälnings]fasen med dem som lämnats i [samråds]fasen, trots att de uppgifter som deltagarna lämnat för att identifiera sig under [anmälnings]fasen inte hade meddelats Deloitte.
2. Europeiska datatillsynsmannen anser att Deloitte var en mottagare av klagandenas personuppgifter i den mening som avses i artikel 3 led 13 i förordning 2018/1725. Den omständigheten att Deloitte inte nämndes i SRB:s meddelande om skydd av personuppgifter som en potentiell mottagare av de personuppgifter som SRB samlade in och behandlade, i sin egenskap av personuppgiftsansvarig inom ramen för förfarandet för att låta de berörda utöva rätten att yttra sig, utgör ett åsidosättande av den informationsskyldighet som föreskrivs i artikel 15.1 d [i förordning 2018/1725].
3. Mot bakgrund av alla de tekniska och organisatoriska åtgärder som SRB vidtagit för att minska riskerna för personernas rätt till skydd för personuppgifter inom ramen för förfarandet för att låta de berörda utöva rätten att yttra sig, beslutar Europeiska datatillsynsmannen att inte utöva sin korrigerande befogenhet enligt artikel 58.2 [i förordning 2018/1725].
4. Europeiska datatillsynsmannen rekommenderar emellertid SRB att försäkra sig om att dess meddelanden om skydd av personuppgifter i framtida förfaranden för att låta de berörda utöva sin rätt att yttra sig omfattar behandling av personuppgifter såväl under anmälningsfasen som under samrådsfasen och att de inkluderar alla potentiella mottagare av de uppgifter som samlas in, så att skyldigheten enligt artikel 15 [i förordning 2018/1725] att informera berörda personer uppfylls fullt ut.”
III. Förfarandet vid tribunalen och den överklagade domen
35 Genom ansökan som inkom till tribunalens kansli den 1 september 2020 väckte SRB talan om dels ogiltigförklaring av det omtvistade beslutet, dels fastställelse av att det ursprungliga beslutet var rättsstridigt.
36 SRB åberopade till stöd för det första yrkandet två grunder. Som första grund gjordes gällande att artikel 3 led 1 i förordning 2018/1725 hade åsidosatts, eftersom de uppgifter som översänts till Deloitte inte utgjorde personuppgifter. Som andra grund hävdades att rätten till god förvaltning, som stadfästs i artikel 41 i stadgan, hade åsidosatts.
37 Tribunalen avvisade i den överklagade domen, på grund av bristande behörighet, det andra yrkandet om att det ursprungliga beslutet skulle fastställas vara rättsstridigt, eftersom SRB därmed ville få till stånd en fastställelsedom och inte en ogiltigförklaring av en rättsakt.
38 Tribunalen fann däremot att det första yrkandet kunde tas upp till prövning. Den biföll talan på den första grunden och ogiltigförklarade det omtvistade beslutet, utan att pröva den andra grunden.
IV. Förfarandet vid domstolen och parternas yrkanden
39 Genom beslut av domstolens ordförande av den 20 oktober 2023 tilläts kommissionen att intervenera till stöd för SRB:s yrkanden. Genom beslut av domstolens ordförande av den 29 november 2023 tilläts Europeiska dataskyddsstyrelsen att intervenera till stöd för Europeiska datatillsynsmannens yrkanden.
40 Europeiska datatillsynsmannen har, med stöd av Europeiska dataskyddsstyrelsen, yrkat att domstolen ska
– upphäva den överklagade domen,
– slutligt avgöra målet, och
– förplikta SRB att ersätta rättegångskostnaderna i andra instans och i målet vid tribunalen.
41 SRB har, med stöd av kommissionen, yrkat att domstolen ska
– ogilla överklagandet,
– i andra hand ogiltigförklara det omtvistade beslutet,
– i tredje hand återförvisa målet till tribunalen, och
– förplikta Europeiska datatillsynsmannen att ersätta rättegångskostnaderna i andra instans och i målet vid tribunalen.
V. Prövning av överklagandet
42 Europeiska datatillsynsmannen har, med stöd av Europeiska dataskyddskommittén, åberopat två grunder. Som första grund görs gällande att artikel 3 leden 1 och 6 i förordning 2018/1725 har åsidosatts, såsom denna tolkats av domstolen. Som andra grund åberopas att artiklarna 4.2 och 26.1 i denna förordning har åsidosatts.
A. Den första grunden
43 Europeiska datatillsynsmannen har genom den första grunden i huvudsak gjort gällande att tribunalen gjorde sig skyldig till felaktig rättstillämpning vid tolkningen av artikel 3 leden 1 och 6 i förordning 2018/1725 när den slog fast att Europeiska datatillsynsmannens bedömning, i det omtvistade beslutet, att de aktuella uppgifterna utgjorde personuppgifter var felaktig. Denna grund består av två delar. Den första delgrunden avser villkoret i artikel 3 led 1 i förordningen, enligt vilket uppgiften ska ”avse” en fysisk person, medan den andra delgrunden avser det i samma bestämmelse föreskrivna villkoret att denna person ska vara ”identifierbar”.
1. Den första delgrunden: Felaktig tolkning av villkoret i artikel 3 led 1 i förordning 2018/1725 avseende att uppgiften ska ”avse” en fysisk person
a) Parternas argument
44 Genom den första grundens första del har Europeiska datatillsynsmannen gjort gällande att de uppgifter som översändes till Deloitte – i motsats till vad tribunalen fann i punkterna 60–74 i den överklagade domen – avsåg en fysisk person i den mening som avses i artikel 3 led 1 i förordning 2018/1725.
45 Europeiska datatillsynsmannen har för det första hävdat att dataskyddsmyndigheterna, i motsats till vad som följer av punkt 70 i den överklagade domen, inte i något fall kan vara skyldiga att undersöka en uppgifts innehåll, syfte eller verkan för att kontrollera huruvida den avser en fysisk person. Enligt Europeiska datatillsynsmannen kunde en sådan undersökning särskilt inte krävas vad gäller de kommentarer som SRB översände till Deloitte, eftersom det enligt datatillsynsmannen stod klart att dessa kommentarer ”avsåg” en fysisk person genom att de gav uttryck för vissa borgenärers och aktieägares personliga synpunkter i fråga om deras eventuella rätt till ersättning enligt artikel 76.1 e i resolutionsförordningen.
46 Europeiska datatillsynsmannen har för det andra, i motsats till vad tribunalen konstaterat i punkt 71 i den överklagade domen, hävdat att datatillsynsmannen, för att dra slutsatsen att det förelåg personuppgifter, inte bara grundade sig på arten av de kommentarer som översändes till Deloitte, utan även på den omständigheten att även den alfanumeriska koden hade översänts till detta bolag.
47 Europeiska datatillsynsmannen har för det tredje gjort gällande att den överklagade domen är motsägelsefull, eftersom tribunalen i punkt 7 däri angav att själva syftet med de kommentarer som översänts till Deloitte var att göra det möjligt för vissa specifika fysiska personer, det vill säga de berörda aktieägarna och borgenärerna, att utöva sin rätt att yttra sig med avseende på en eventuell ersättning enligt artikel 76.1 e i resolutionsförordningen. I strid med detta första konstaterande fann tribunalen emellertid, i punkt 73 i den överklagade domen, att Europeiska datatillsynsmannen hade grundat sig på antaganden om att samtliga kommentarer som översänts till Deloitte utgjorde personuppgifter, utan att visa att de avsåg fysiska personer.
48 SRB har, med stöd av kommissionen, gjort gällande att det saknas fog för dessa argument.
49 För det första kan, enligt den rättspraxis som följer av domen av den 20 december 2017, Nowak (C‑434/16, EU:C:2017:994, punkterna 34 och 35), och domen av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF (C‑487/21, EU:C:2023:369, punkterna 23 och 24), uppgifter, såväl objektiva som subjektiva, i form av åsikter eller bedömningar utgöra personuppgifter under förutsättning att uppgifterna ”avser” den berörda personen. Enligt denna rättspraxis avser en upplysning en identifierad eller identifierbar fysisk person när den på grund av sitt innehåll, sitt syfte eller sin verkan är knuten till en identifierbar person. Tribunalen gjorde således en riktig bedömning när den, i punkterna 70–74 i den överklagade domen, slog fast att Europeiska datatillsynsmannen agerade i strid mot nämnda rättspraxis när den endast angav att de kommentarer som översänts till Deloitte återspeglade de berörda aktieägarnas och borgenärernas åsikter eller synpunkter, utan att undersöka huruvida dessa kommentarer, genom sitt innehåll, sitt syfte eller sin verkan, var knutna till en identifierbar person.
50 För det andra utgör Europeiska datatillsynsmannens påstående, att de nämnda kommentarerna med nödvändighet var att anse som personuppgifter till följd av deras syfte, ett nytt påstående om de faktiska omständigheterna vilket framförts för första gången i målet om överklagande och vilket därför inte kan tas upp till prövning. Detta påstående är under alla omständigheter verkningslöst, eftersom Europeiska datatillsynsmannen inte bedömt denna fråga i det omtvistade beslutet.
51 För det tredje, vad gäller påståendet att skälen i punkterna 7 och 73 i den överklagade domen är motsägelsefulla, har SRB gjort gällande att beskrivningen i punkt 7 i den domen inte innehåller någon information om innehållet i, syftet med eller verkan av de kommentarer som översänts till Deloitte och följaktligen inte motsäger slutsatsen i punkt 73 i nämnda dom.
b) Domstolens bedömning
52 Det ska inledningsvis påpekas att definitionen av begreppet personuppgifter i artikel 3 led 1 i förordning 2018/1725 i sak är identisk med definitionen i artikel 4 led 1 i den allmänna dataskyddsförordningen, vilken för sin del i sak har samma innebörd som artikel 2 a i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31). För att säkerställa en enhetlig och konsekvent tillämpning av unionsrätten ska således artikel 3 led 1 i förordning 2018/1725, artikel 4 led 1 i den allmänna dataskyddsförordningen och artikel 2 a i direktiv 95/46 tolkas på samma sätt (se, för ett liknande resonemang, dom av den 7 mars 2024, OC, C‑479/22 P, EU:C:2024:215, punkt 43, och dom av den 7 mars 2024, IAB Europe, C‑604/22, EU:C:2024:214, punkt 33 och där angiven rättspraxis).
53 Enligt artikel 3 led 1 i förordning 2018/1725 avses med personuppgifter ”varje upplysning som avser en identifierad eller identifierbar fysisk person”.
54 Domstolen har slagit fast att användningen av uttrycket varje upplysning i definitionen av begreppet personuppgifter i denna bestämmelse och i artikel 4 led 1 i den allmänna dataskyddsförordningen avspeglar unionslagstiftarens avsikt att ge detta begrepp en vid innebörd, vilken potentiellt innefattar alla typer av upplysningar, såväl objektiva som subjektiva, i form av åsikter eller bedömningar, under förutsättning att upplysningarna ”avser” den berörda personen (dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 23 och där angiven rättspraxis, dom av den 7 mars 2024, OC/kommissionen, C‑479/22 P, EU:C:2024:215, punkt 45, och dom av den 4 oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punkt 130).
55 En upplysning avser en identifierad eller identifierbar fysisk person när den på grund av sitt innehåll, sitt syfte eller sin verkan är knuten till en identifierbar person (dom av den 20 december 2017, Nowak, C‑487/16, EU:C:2017:994, punkt 23, dom av den 7 mars 2024, OC/kommissionen, C‑479/22 P, EU:C:2024:215, punkt 45, och dom av den 7 mars 2024, IAB Europe, C‑604/22, EU:C:2024:214, punkt 37 och där angiven rättspraxis).
56 Även om tribunalen i förevarande fall, i punkt 70 i den överklagade domen, påpekade att Europeiska datatillsynsmannen inte hade undersökt vare sig innehållet i, syftet med eller verkan av de upplysningar som framgick av de kommentarer som översänts till Deloitte, framgår det likväl av punkterna 71 och 72 i den överklagade domen att konstaterandet att kommentarerna återspeglade de berörda personernas åsikter eller synpunkter innebar att det var nödvändigt att datatillsynsmannen i förväg undersökte innehållet i dessa kommentarer. På grundval av detta konstaterande drog tribunalen slutsatsen att de utgjorde upplysningar om dessa personer. Enligt den rättspraxis som det erinrats om i punkt 55 ovan behöver en undersökning av innehållet i en upplysning inte nödvändigtvis kompletteras med en analys av syftet med och verkningarna av denna upplysning, såsom framgår av användningen av konjunktionen ”eller” som kopplar samman de olika kriterier som avses med denna rättspraxis.
57 I punkterna 73 och 74 i den överklagade domen fann tribunalen emellertid att Europeiska datatillsynsmannen inte kunde kvalificera de upplysningar som framgick av de kommentarer som översänts till Deloitte som personuppgifter enbart på grundval av konstaterandet att det rörde sig om personliga åsikter eller synpunkter, utan datatillsynsmannen borde dessutom ha undersökt innehållet i, syftet med och verkan av de åsikter som uttryckts härigenom, för att avgöra huruvida de var knutna till en viss person.
58 Genom denna bedömning bortser tribunalen från den särskilda arten av personliga åsikter eller synpunkter som, i egenskap av uttryck för en persons tankar, med nödvändighet är nära knutna till denna person.
59 Den tolkning som gjorts i föregående punkt stöds av den rättspraxis som följer av domen av den 20 december 2017, Nowak (C‑434/16, EU:C:2017:994), vilken bland annat avsåg en examinators anteckningar beträffande en examinands skriftliga svar på ett prov för yrkesexamen. Även om domstolen, i punkterna 42–44 i den domen, bedömde innehållet i, syftet med och verkan av dessa anteckningar för att konstatera att de utgjorde upplysningar om den examinand som anteckningarna avsåg, fann den nämligen i sak att nämnda anteckningar även var upplysningar som avsåg examinatorn, som hade skrivit dem, eftersom de avspeglade dennes åsikt eller bedömning.
60 Härav följer att tribunalen gjorde sig skyldig till felaktig rättstillämpning när den, i punkterna 73 och 74 i den överklagade domen, fann att Europeiska datatillsynsmannen, för att dra slutsatsen att de upplysningar som framgick av de kommentarer som översänts till Deloitte ”avsåg”, i den mening som avses i artikel 3 led 1 i förordning 2018/1725, de personer som hade lämnat dessa kommentarer, borde ha undersökt innehållet i, syftet med eller verkningarna av kommentarerna, eftersom det var ostridigt att kommentarerna gav uttryck för dessa personers personliga åsikter eller synpunkter.
61 Överklagandet ska således bifallas såvitt avser den första grundens första del, utan att det är nödvändigt att pröva de argument som sammanfattats i punkterna 46 och 47 ovan.
2. Den första grundens andra del: Felaktig tolkning av villkoret i artikel 3 led 1 i förordning 2018/1725 att upplysningen ska avse en ”identifierbar” fysisk person
62 Europeiska datatillsynsmannen har genom den första grundens andra del gjort gällande att tribunalens bedömning, i punkterna 76–106 i den överklagade domen, att det inte kunde anses att de upplysningar som framgick av de kommentarer som översänts till Deloitte avsåg en ”identifierbar” fysisk person, i den mening som avses i artikel 3 led 1 i förordning 2018/1725, är felaktig. Denna delgrund består av två olika argument.
a) Det första argument som avses med den första grundens andra del
1) Parternas argument
63 Europeiska datatillsynsmannen har inledningsvis erinrat om att det i artikel 3 led 1 i förordning 2018/1725 uppställs ett rekvisit innebärande att den personuppgiftsansvarige eller någon ”annan person” ska kunna identifiera en person som avses med upplysningen i fråga. Eftersom det inte specificeras vilken person som ska kunna göra denna identifiering, är det tillräckligt att den berörda personen kan identifieras. Det har i förevarande fall inte bestritts att de kommentarer som översänts till Deloitte, vilka SRB förfogade över, utgör personuppgifter. Det framgår dessutom av artikel 3 led 6 i förordningen, jämförd med skäl 16 i samma förordning, att pseudonymiserade uppgifter utgör personuppgifter, och detta redan på grund av att det finns kompletterande uppgifter som gör det möjligt att hänföra dem till en viss person.
64 Enligt Europeiska datatillsynsmannen har tribunalen, i sitt resonemang i punkterna 90 och 91 i den överklagade domen, inte tagit tillräcklig hänsyn till lydelsen av dessa bestämmelser och till skillnaden mellan anonymisering och pseudonymisering. Europeiska dataskyddsstyrelsen har i detta sammanhang preciserat att enligt tribunalens tolkning ändrar personuppgifterna karaktär när de översänds till en i förhållande till den personuppgiftsansvarige extern enhet som inte har tillgång till kompletterande uppgifter som gör det möjligt att identifiera den registrerade. En sådan tolkning skulle göra det möjligt för en sådan ansvarig att på ett otillbörligt sätt undanta personuppgifter från tillämpningsområdet för unionsrättens bestämmelser om skydd av personuppgifter, och detta även om den externa enhetens behandling skulle utsätta de registrerade för betydande risker.
65 Datatillsynsmannen har vidare påpekat att unionslagstiftaren, genom att införa begreppet pseudonymisering, har klargjort att det, för att undanta personuppgifter från tillämpningsområdet för unionsrättens bestämmelser om skydd av personuppgifter, inte räcker att separera dessa uppgifter från de kompletterande uppgifter som gör det möjligt att identifiera den registrerade.
66 Datatillsynsmannen har slutligen erinrat om att begreppet personuppgifter ska ges en vid tolkning, vilket enligt datatillsynsmannen är nödvändigt för att dataskyddslagstiftningen ska få ändamålsenlig verkan. I den mån tribunalens tolkning skulle göra det möjligt att felaktigt betrakta pseudonymiserade uppgifter som anonyma uppgifter, skulle den kunna äventyra den höga skyddsnivå som unionslagstiftaren eftersträvat och som krävs enligt stadgan. Enligt Europeiska dataskyddsstyrelsen medför tribunalens tolkning även en risk för att pseudonymiserade uppgifter skulle kunna behandlas utan begränsningar enligt dataskyddsförordningen och förordning 2018/1725, inbegripet genom att de delas, offentliggörs eller överförs till tredjeländer.
67 SRB har, med stöd av kommissionen, bestritt dessa argument.
2) Domstolens bedömning
68 Det första argument som avses med den första grundens andra del grundar sig i huvudsak på uppfattningen att pseudonymiserade uppgifter, såsom de kommentarer som översänts till Deloitte, under alla omständigheter utgör personuppgifter enbart på grund av att det finns upplysningar som gör det möjligt att identifiera den registrerade, utan att det är nödvändigt att konkret pröva huruvida den person som dessa uppgifter hänför sig till, trots pseudonymiseringen, är identifierbar.
69 Det ska i detta sammanhang erinras om att enligt artikel 3 led 1 i förordning 2018/1725 ska en upplysning avse en ”identifierad eller identifierbar” fysisk person för att kunna kvalificeras som en personuppgift i den mening som avses i denna bestämmelse. För att denna förordning ska kunna tillämpas krävs således i princip att det prövas huruvida den person som berörs av den aktuella upplysningen är identifierad eller identifierbar.
70 Denna tolkning stöds av den femte och den sjätte meningen i skäl 16 i förordning 2018/1725, enligt vilka definitionen av begreppet personuppgifter inte omfattar ”anonym information, det vill säga information som inte hänför sig till en identifierad eller identifierbar fysisk person” eller ”personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar” (se, analogt, dom av den 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punkt 57).
71 För det första, vad särskilt gäller pseudonymiserade uppgifter, ska det påpekas att dessa uppgifter inte nämns i legaldefinitionen av begreppet personuppgifter i artikel 3 led 1 i förordning 2018/1725, utan deras beskaffenhet framgår i stället av artikel 3 led 6 i denna förordning. Begreppet pseudonymisering definieras i sistnämnda bestämmelse på följande sätt: ”behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person”.
72 Såsom generaladvokaten i huvudsak har påpekat i punkterna 46 och 48 i sitt förslag till avgörande utgör pseudonymisering således inte en del av definitionen av ”personuppgifter”, utan hänför sig till införandet av tekniska och organisatoriska åtgärder som syftar till att minska risken för att en uppsättning uppgifter kopplas samman med de registrerades identitet. Enligt skäl 17 i förordningen kan pseudonymisering endast ”minska riskerna” för en sådan sammankoppling med dessa personer och kan därigenom ”hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd”.
73 För det andra framgår det av lydelsen av artikel 3 led 6 i förordning 2018/1725 att begreppet pseudonymisering förutsätter att det finns upplysningar som gör det möjligt att identifiera den registrerade. Själva förekomsten av sådana upplysningar utgör emellertid hinder för att uppgifter som har pseudonymiserats under alla omständigheter kan anses vara anonyma uppgifter som inte omfattas av förordningens tillämpningsområde.
74 För det tredje visar dock kravet i artikel 3 led 6 i förordningen, på separat förvaring av identifieringsuppgifter samt tekniska och organisatoriska åtgärder ”som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person”, att pseudonymiseringen bland annat syftar till att undvika att den registrerade kan identifieras enbart med hjälp av pseudonymiserade uppgifter.
75 Under förutsättning att sådana tekniska och organisatoriska åtgärder faktiskt vidtas och att de är ägnade att förhindra att de aktuella uppgifterna kan hänföras till den registrerade, så att han eller hon inte eller inte längre kan identifieras, kan pseudonymiseringen nämligen påverka dessa uppgifters karaktär av personuppgifter i den mening som avses i artikel 3 led 1 i förordning 2018/1725.
76 I likhet med vad som normalt är fallet med en personuppgiftsansvarig som har genomfört en pseudonymisering förfogar SRB i förevarande fall över kompletterande uppgifter som gör det möjligt att hänföra de kommentarer som översänts till Deloitte till de registrerade. Dessa kommentarer behåller därför sin personliga karaktär trots pseudonymiseringen.
77 Vad gäller Deloitte, som SRB översände de pseudonymiserade kommentarerna till, kan de tekniska och organisatoriska åtgärder som avses i artikel 3 led 6 i förordning 2018/1725, såsom SRB i huvudsak har hävdat, få till följd att dessa kommentarer inte utgör personuppgifter. Detta förutsätter emellertid, för det första, att Deloitte inte kan frångå dessa åtgärder vid all behandling av kommentarerna som sker under dess kontroll. För det andra ska nämnda åtgärder faktiskt vara av sådan beskaffenhet att de även hindrar Deloitte från att hänföra dessa kommentarer till de registrerade genom att använda sig av andra identifieringsmetoder, såsom en jämförelse med andra uppgifter, så att den berörda personen inte eller inte längre kan identifieras av Deloitte.
78 Denna tolkning har stöd i skäl 16 i förordning 2018/1725. I detta skäl anges, i första meningen, att ”[p]rinciperna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person” och, i andra meningen, att ”[p]ersonuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person”.
79 Efter dessa uttalanden i fråga om personuppgifter och pseudonymiserade uppgifter preciseras det nämligen i tredje meningen i detta skäl att för att avgöra om en fysisk person är identifierbar bör man beakta ”alla hjälpmedel [som] rimligen kan komma att” användas av den personuppgiftsansvarige eller ”av en annan person”, för att ”direkt eller indirekt” identifiera den fysiska personen. I den fjärde meningen i nämnda skäl anges dessutom att man, för att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen, bör beakta ”samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen”.
80 Såsom generaladvokaten har påpekat i punkt 51 i sitt förslag till avgörande skulle dessa preciseringar avseende bedömningen av huruvida den registrerade är identifierbar eller inte emellertid förlora all ändamålsenlig verkan om pseudonymiserade uppgifter, under alla omständigheter och för alla personer, skulle anses utgöra personuppgifter vid tillämpningen av förordning 2018/1725.
81 Det ska i detta sammanhang erinras om att domstolen, beträffande ett pressmeddelande som innehöll ett visst antal uppgifter om en person utan att namnge denna person, i sin dom av den 7 mars 2024, OC/kommissionen (C‑479/22 P, EU:C:2024:215, punkterna 52–64), inte inskränkte sig till att konstatera att det unionsorgan som hade offentliggjort meddelandet hade tillgång till samtliga upplysningar som behövdes för att identifiera denna person, utan även prövade huruvida uppgifterna i pressmeddelandet med rimlig sannolikhet gjorde det möjligt för den berörda allmänheten att identifiera denna person, bland annat genom en kombination av dessa uppgifter och information som var tillgänglig på internet.
82 Domstolen har vidare redan slagit fast att ett hjälpmedel inte med rimlig sannolikhet kan komma att användas för att identifiera den registrerade om risken för identifiering i praktiken är försumbar på grund av att identifiering av denna person är förbjuden i lag eller omöjlig att genomföra i praktiken, exempelvis på grund av att den skulle kräva orimliga resurser i form av tid, kostnader och arbetskraft (se, för ett liknande resonemang, dom av den 7 mars 2024, OC/kommissionen, C‑479/22 P, EU:C:2024:215, punkt 51 och där angiven rättspraxis). Denna rättspraxis bekräftar tolkningen att förekomsten av kompletterande uppgifter som gör det möjligt att identifiera den registrerade inte i sig innebär att pseudonymiserade uppgifter under alla omständigheter och för alla personer ska anses utgöra personuppgifter vid tillämpningen av förordning 2018/1725.
83 I linje härmed har domstolen, bland annat i dom av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779, punkterna 44, 47 och 48), och dom av den 7 mars 2024, IAB Europe (C‑604/22, EU:C:2024:214, punkterna 43 och 48), slagit fast att uppgifter som inte i sig är personuppgifter men som samlats in och lagrats av den personuppgiftsansvarige ändå hade anknytning till en identifierbar person, eftersom den personuppgiftsansvarige hade lagliga möjligheter att från någon annan erhålla kompletterande information som gjorde det möjligt att identifiera denna person. Under sådana omständigheter kunde nämligen det förhållandet att de uppgifter som gjorde det möjligt att identifiera den registrerade fanns hos olika personer inte i praktiken förhindra en identifiering av den registrerade, så att han eller hon inte kunde identifieras av den personuppgiftsansvarige.
84 Enligt den rättspraxis som följer av domen av den 9 november 2023, Gesamtverband Autoteile-Handel (Tillgång till information om fordon) (C‑319/22, EU:C:2023:837, punkterna 46 och 49), kan uppgifter som inte i sig är personuppgifter få karaktär av personuppgifter när den personuppgiftsansvarige gör dessa tillgängliga för andra personer som förfogar över medel som med rimlig sannolikhet skulle kunna göra det möjligt att identifiera den registrerade. Det framgår av sistnämnda dom särskilt att sådana uppgifter – i samband med ett sådant tillgängliggörande – har karaktär av personuppgifter såväl i förhållande till dessa personer som indirekt i förhållande till den personuppgiftsansvarige.
85 Mot bakgrund av den rättspraxis som det erinrats om i föregående punkt kan konstateras att Europeiska datatillsynsmannen drog en felaktig slutsats när den fann att den omständigheten, att pseudonymiserade uppgifter i förekommande fall inte är personuppgifter i förhållande till de personer till vilka den personuppgiftsansvarige överför pseudonymiserade uppgifter, gör det möjligt att på ett otillbörligt sätt undanta dessa uppgifter från tillämpningsområdet för unionsrättens bestämmelser om skydd av personuppgifter. Enligt denna rättspraxis saknar denna omständighet nämligen betydelse för bedömningen av huruvida dessa uppgifter är personuppgifter, bland annat i samband med en eventuell senare överföring till tredje man. I den mån det inte är uteslutet att en sådan tredje man med rimlig sannolikhet kan hänföra de pseudonymiserade uppgifterna till den registrerade genom att till exempel jämföra dem med andra uppgifter som den tredje mannen förfogar över, ska den registrerade anses vara identifierbar vad gäller såväl denna överföring som all senare behandling av dessa uppgifter som nämnda tredje man utför. Under sådana omständigheter ska pseudonymiserade uppgifter anses vara personuppgifter.
86 Av detta följer, i motsats till vad datatillsynsmannen har hävdat, att pseudonymiserade uppgifter inte ska anses utgöra personuppgifter under alla omständigheter och för alla personer vid tillämpningen av förordning 2018/1725, eftersom pseudonymisering, beroende på omständigheterna i det enskilda fallet, faktiskt kan hindra andra personer än den personuppgiftsansvarige från att identifiera den registrerade, så att de inte, eller inte längre, kan identifiera den registrerade.
87 Denna tolkning påverkas inte av den av Europeiska datatillsynsmannen åberopade omständigheten att fjärde meningen i skäl 16 i förordning 2018/1725 avser den personuppgiftsansvarige eller ”annan person”. Det framgår nämligen av själva ordalydelsen i denna mening, som det erinrats om i punkt 79 ovan, att den endast avser personer som förfogar över eller som kan få tillgång till medel som med rimlig sannolikhet kan användas för att identifiera den berörda personen. Såsom har påpekats i punkterna 75–77 ovan kan pseudonymisering emellertid, beroende på omständigheterna i det enskilda fallet, faktiskt hindra andra personer än den personuppgiftsansvarige från att identifiera den registrerade på ett sådant sätt att de inte, eller inte längre, kan identifiera den registrerade.
88 Vad gäller Europeiska datatillsynsmannens argument avseende målet att säkerställa en hög skyddsnivå för personuppgifter, är detta begrepp, även om ordalydelsen i artikel 3 led 1 i förordning 2018/1725 återspeglar unionslagstiftarens syfte att ge begreppet personuppgifter en vid innebörd, inte obegränsat. Enligt denna bestämmelse krävs nämligen bland annat att den registrerade ska vara identifierad eller identifierbar.
89 Såsom generaladvokaten har påpekat i punkt 58 i sitt förslag till avgörande innehåller förordning 2018/1725 skyldigheter, såsom den skyldighet att lämna information till den registrerade som föreskrivs i artikel 15 i förordningen, vars fullgörande förutsätter att den registrerade identifieras. Sådana skyldigheter kan emellertid inte åläggas en enhet som inte har någon möjlighet att göra denna identifiering.
90 Överklagandet kan således inte vinna bifall såvitt avser det första argument som avses med den första grundens andra del.
b) Det andra argument som avses med den första grundens andra del
1) Parternas argument
91 Genom det andra argument som avses med den första grundens andra del har datatillsynsmannen gjort gällande att tribunalens dom strider mot den rättspraxis som följer av domen av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779).
92 För det första underlät tribunalen att beakta den objektiva karaktären hos villkoret att den registrerade ska vara ”identifierbar”, när den i punkterna 97, 99 och 100 i den överklagade domen bland annat slog fast att Europeiska datatillsynsmannen borde ha prövat huruvida de kommentarer som översänts till Deloitte utgjorde personuppgifter ur Deloittes perspektiv. Enligt Europeiska datatillsynsmannen följer det nämligen av punkterna 47 och 48 i domen av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), att redan den omständigheten att det finns rättsliga medel som gör det möjligt att identifiera den registrerade räcker för att dra slutsatsen att denna person är identifierbar. I förevarande fall var SRB i stånd att identifiera de registrerade, en omständighet som tribunalen inte i tillräcklig utsträckning beaktade vid tillämpningen av den rättspraxis som följer av denna dom.
93 För det andra anser Europeiska datatillsynsmannen att frågan, huruvida den registrerade var identifierbar, i nämnda dom bedömdes ur den personuppgiftsansvariges perspektiv, och detta utan att det fanns något samband mellan den personuppgiftsansvarige och de enheter som innehade de kompletterande uppgifter som gjorde det möjligt att identifiera denna person. I förevarande fall är Deloitte däremot inte den personuppgiftsansvarige och byrån är dessutom bunden av ett avtal med SRB. Mot bakgrund av dessa skillnader anser Europeiska datatillsynsmannen att den inte var skyldig att göra en fullständig bedömning av de sätt på vilka Deloitte rimligen skulle kunna identifiera de registrerade.
94 För det fall datatillsynsmannen ändå skulle ha varit skyldig att bedöma huruvida Deloitte kunde identifiera de som hade lämnat de kommentarer som översändes till datatillsynsmannen, har denne hävdat att det under alla omständigheter inte fanns något som hindrade Deloitte från att göra en sådan identifiering.
95 SRB har, med stöd av kommissionen, bestritt dessa argument.
96 För det första gjorde tribunalen, i punkterna 96, 97 och 100 i den överklagade domen, en riktig bedömning när den utgick från att frågan huruvida den registrerade är identifierbar ska bedömas i förhållande till varje person och varje berörd personuppgiftsansvarig som behandlar de relevanta uppgifterna. Mot bakgrund av den informationsskyldighet som föreskrivs i artikel 15.1 d i förordning 2018/1725 ska denna prövning emellertid göras med utgångspunkt i mottagaren av de aktuella uppgifterna.
97 För det andra anser SRB att argumenten avseende de påstådda skillnaderna mellan förevarande mål och det mål som avgjordes genom domen av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), inte kan tas upp till prövning. Enligt SRB innebär dessa argument ett ifrågasättande av tribunalens bedömning av de faktiska omständigheterna i punkterna 94 och 95 i den överklagade domen, enligt vilken Deloitte inte hade tillgång till de identifieringsuppgifter som var nödvändiga för att identifiera klagandena.
2) Domstolens bedömning
98 I punkterna 97–100 i den överklagade domen slog tribunalen bland annat fast att Europeiska datatillsynsmannen, i enlighet med den rättspraxis som följer av domen av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), borde ha prövat huruvida de kommentarer som översänts till Deloitte, ur Deloittes perspektiv, utgjorde personuppgifter. För att komma fram till detta konstaterande påpekade tribunalen bland annat att det åsidosättande av artikel 15.1 d i förordning 2018/1725 som konstaterats i det omtvistade beslutet avsåg SRB:s översändande av dessa kommentarer till Deloitte och inte enbart SRB:s innehav av dem.
99 Det ska inledningsvis erinras om att det i artikel 3 led 1 i förordning 2018/1725 inte uttryckligen anges vilket perspektiv som är relevant för bedömningen av huruvida den registrerade är identifierbar, medan skäl 16 i förordningen utan åtskillnad nämner ”den personuppgiftsansvarige” och varje ”annan person”. Det följer vidare av en fast rättspraxis att för att en uppgift ska anses utgöra en ”personuppgift” krävs inte att alla upplysningar som är nödvändiga för att identifiera den aktuella personen innehas av en enda person (se, för ett liknande resonemang, dom av den 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punkt 43, och dom av den 7 mars 2024, OC/kommissionen, C‑479/22 P, EU:C:2024:215, punkt 48).
100 Enligt den rättspraxis som följer av bland annat domen av den 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), som det erinrats om i punkterna 81–84 ovan, beror det relevanta perspektivet för bedömningen av huruvida den registrerade är identifierbar huvudsakligen på de omständigheter som kännetecknar behandlingen av uppgifterna i varje enskilt fall.
101 I förevarande fall ska det erinras om att Europeiska datatillsynsmannen i det omtvistade beslutet konstaterade att SRB hade åsidosatt sin informationsskyldighet enligt artikel 15.1 d i förordning 2018/1725 genom att inte nämna Deloitte som potentiell mottagare av kommentarerna i det meddelande om skydd av personuppgifter som offentliggjordes vid tidpunkten för insamlingen av dessa kommentarer.
102 I artikel 15.1 i förordningen fastställs vilken information som den personuppgiftsansvarige ska lämna till den registrerade när personuppgifter samlas in från den registrerade, samtidigt som det preciseras att denna information ska lämnas till den registrerade ”vid den tidpunkt då personuppgifterna erhålls”. Det följer av själva ordalydelsen i denna bestämmelse att denna information ska lämnas av den personuppgiftsansvarige omedelbart, det vill säga när uppgifterna samlas in (se, analogt, dom av den 29 juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, punkt 104 och där angiven rättspraxis).
103 Vad närmare bestämt gäller den information om eventuella mottagare av personuppgifter som avses i artikel 15.1 d i nämnda förordning, rör det sig om information som tillsammans med annan information ska lämnas i samband med insamlingen av uppgifter från den registrerade.
104 I artikel 14.1 i förordning 2018/1725 föreskrivs att den personuppgiftsansvarige ska vidta lämpliga åtgärder för att bland annat se till att den information som avses i bland annat artikel 15 i förordningen lämnas till den registrerade i en koncis, klar och tydlig, begriplig och lättillgänglig form och på ett klart och tydligt språk, så att den registrerade fullt ut kan förstå den information som riktas till honom eller henne (se, analogt, dom av den 4 maj 2023, Österreichische Datenschutzbehörde och CRIF, C‑487/21, EU:C:2023:369, punkt 38, och dom av den 11 juli 2024, Meta Platforms Ireland (Grupptalan), C‑757/22, EU:C:2024:598, punkterna 55 och 56).
105 Vikten av att denna informationsskyldighet uppfylls bekräftas även av skäl 35 i förordning 2018/1725, där det i första och andra meningen anges att principen om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och om syftet med den, varvid det understryks att den personuppgiftsansvarige till den registrerade bör lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang, i enlighet med vad som föreskrivs i artikel 15.2 i denna förordning (se, analogt, dom av den 11 juli 2024, Meta Platforms Ireland (Grupptalan), C‑757/22, EU:C:2024:598, punkt 57 och där angiven rättspraxis).
106 När insamlingen av personuppgifter från den registrerade grundar sig på den registrerades samtycke – vilket var fallet i förevarande fall, inom ramen för förfarandet avseende rätten att yttra sig –, beror giltigheten av den registrerades samtycke bland annat på huruvida vederbörande i förväg har erhållit den information om samtliga omständigheter kring behandlingen av de aktuella uppgifterna som vederbörande hade rätt att få enligt artikel 15 i förordning 2018/1725 och som gör det möjligt för honom eller henne att lämna sitt samtycke med full kännedom om omständigheterna (se, analogt, dom av den 11 juli 2024, Meta Platforms Ireland (Grupptalan), C‑757/22, EU:C:2024:598, punkt 60).
107 Vad gäller det fallet att den registrerade är skyldig att lämna ut personuppgifter till den personuppgiftsansvarige, preciseras det i fjärde meningen i skäl 35 i förordningen att den registrerade bör informeras om huruvida han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna av att han eller hon inte lämnar dem. Detta bekräftar vikten av att den information som krävs enligt artikel 15 i förordningen lämnas, vid den tidpunkt då uppgifterna samlas in från den registrerade.
108 Det står mot denna bakgrund klart att skyldigheten att vid tidpunkten för insamlingen av de personuppgifter som har samband med den registrerade lämna information till denne om eventuella mottagare av dessa uppgifter bland annat syftar till att göra det möjligt för den registrerade att med full kännedom om omständigheterna avgöra om han eller hon ska lämna eller tvärtom vägra att lämna de personuppgifter som samlas in från vederbörande.
109 Det ska tilläggas att informationen om eventuella mottagare, såsom kommissionen i huvudsak gjorde gällande vid förhandlingen, förvisso även är oundgänglig för att den registrerade senare ska kunna tillvarata sina rättigheter gentemot dessa mottagare. Skyldigheten att lämna denna information när personuppgifterna samlas in säkerställer emellertid bland annat att uppgifterna inte samlas in av den personuppgiftsansvarige mot den registrerades vilja eller mot dennes vilja överförs till tredje man.
110 Av detta följer, såsom generaladvokaten har påpekat i punkt 69 i sitt förslag till avgörande, att den informationsskyldighet som föreskrivs i artikel 15.1 d i förordning 2018/1725 ingår i rättsförhållandet mellan den registrerade och den personuppgiftsansvarige och därför avser de uppgifter som har samband med den registrerade, såsom de har överförts till den personuppgiftsansvarige, det vill säga före varje eventuell överföring till tredje man.
111 Vid tillämpningen av den informationsskyldighet som föreskrivs i artikel 15.1 d i förordning 2018/1725 ska frågan huruvida den registrerade är identifierbar följaktligen bedömas vid tidpunkten för insamlingen av uppgifterna och utifrån den personuppgiftsansvariges perspektiv.
112 Av detta följer, såsom generaladvokaten har påpekat i punkt 79 i sitt förslag till avgörande, att SRB:s informationsskyldighet i förevarande fall var tillämplig före överföringen av de aktuella kommentarerna och oberoende av om de, ur Deloittes perspektiv, utgjorde personuppgifter eller inte, efter deras eventuella pseudonymisering.
113 SRB:s argument avseende lydelsen av artikel 15.1 d i förordning 2018/1725, där det hänvisas till ”mottagarna … av personuppgifterna”, föranleder inte någon annan bedömning. Såsom framgår av punkterna 102–108 ovan reglerar nämligen denna bestämmelse den personuppgiftsansvariges informationsskyldighet vid tidpunkten för insamlingen av sådana uppgifter. Frågan huruvida den personuppgiftsansvarige vid denna tidpunkt har uppfyllt sin informationsskyldighet kan emellertid inte vara beroende av vilka möjligheter en eventuell mottagare har att identifiera den registrerade efter en senare överföring av de aktuella uppgifterna.
114 Såsom generaladvokaten har påpekat i punkt 77 i sitt förslag till avgörande skulle SRB:s argument att det finns anledning att utgå från mottagarens perspektiv för att kontrollera huruvida denna informationsskyldighet har iakttagits leda till att denna kontroll skjuts upp. I den mån denna kontroll med nödvändighet avser personuppgifter som redan har överförts till mottagaren, strider detta argument även mot syftet med informationsskyldigheten, som är nära knutet till förhållandet mellan den personuppgiftsansvarige och den registrerade.
115 Tribunalen gjorde sig således skyldig till felaktig rättstillämpning när den i punkterna 97, 98, 100, 101 och 103–105 i den överklagade domen slog fast att Europeiska datatillsynsmannen, för att bedöma huruvida SRB hade iakttagit sin informationsskyldighet enligt artikel 15.1 d i förordning 2018/1725, borde ha prövat huruvida de kommentarer som översänts till Deloitte utgjorde personuppgifter ur den sistnämndas perspektiv.
116 Härav följer att det finns fog för det andra argument som avses med den första grundens andra del, och att det inte är nödvändigt att pröva Europeiska datatillsynsmannens argument som sammanfattats i punkterna 93 och 94 ovan.
B. Den andra grunden
117 Eftersom överklagandet ska bifallas såvitt avser den första grundens första del och det andra argument som avses med dess andra del, saknas det anledning att pröva Europeiska datatillsynsmannens andra grund avseende åsidosättande av artiklarna 4.2 och 26.1 i förordning 2018/1725.
118 Eftersom överklagandet således ska bifallas på den första grunden, ska den överklagade domen upphävas.
VI. Prövning av talan vid tribunalen
119 Enligt artikel 61 första stycket andra meningen i stadgan för Europeiska unionens domstol kan domstolen, om den upphäver tribunalens avgörande, själv slutligt avgöra målet, om detta är färdigt för avgörande.
120 I förevarande fall är målet färdigt för avgörande vad gäller den första grunden för talan, beträffande att Europeiska datatillsynsmannen åsidosatt artikel 3 led 1 i förordning 2018/1725 på grund av att de upplysningar som översändes till Deloitte inte utgjorde personuppgifter. Mot bakgrund av vad som anförts i punkterna 58–60 ovan kunde Europeiska datatillsynsmannen nämligen, utan att göra sig skyldig till felaktig rättstillämpning, anse att de kommentarer som översändes till Deloitte utgjorde upplysningar som avsåg fysiska personer, nämligen de personer som lämnat dessa kommentarer. Vidare ska, såsom har påpekats i punkt 111 ovan, vid tillämpningen av den informationsskyldighet som föreskrivs i artikel 15.1 d i förordningen, frågan huruvida den registrerade är identifierbar bedömas utifrån den personuppgiftsansvariges perspektiv. Det är emellertid ostridigt mellan parterna att SRB, i egenskap av personuppgiftsansvarig, förfogade över alla upplysningar som krävdes för att identifiera de personer som lämnat kommentarerna. Av det ovan anförda följer att de omtvistade upplysningarna, i motsats till vad SRB har hävdat, utgör personuppgifter. Talan kan således inte vinna bifall på den första grunden.
121 Målet är däremot inte färdigt för avgörande vad gäller den andra grunden för talan, eftersom denna grund förutsätter en bedömning av de faktiska omständigheterna som tribunalen inte har gjort.
122 Målet ska följaktligen återförvisas till tribunalen för prövning av den andra grunden.
VII. Rättegångskostnader
123 Eftersom målet återförvisas till tribunalen ska frågan om de rättegångskostnader som uppkommit med anledning av överklagandet anstå.
Mot denna bakgrund beslutar domstolen (första avdelningen) följande:
1) Den dom som meddelades av Europeiska unionens tribunal den 26 april 2023, SRB/EDPS (T‑557/20, EU:T:2023:219), upphävs.
2) Mål T‑557/20 återförvisas till Europeiska unionens tribunal.
3) Frågan om rättegångskostnader anstår.
Underskrifter
* Rättegångsspråk: engelska.