ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (πρώτο τμήμα)
της 4ης Σεπτεμβρίου 2025 (*)
« Αίτηση αναιρέσεως – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Διαδικασία αποζημίωσης των μετόχων και πιστωτών τραπεζικού ιδρύματος που τέθηκε σε καθεστώς εξυγίανσης – Απόφαση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων διαπιστώνουσα την εκ μέρους του Ενιαίου Συμβουλίου Εξυγίανσης παράβαση των σχετικών με την προστασία δεδομένων προσωπικού χαρακτήρα υποχρεώσεων που υπέχει – Κανονισμός (ΕΕ) 2018/1725 – Άρθρο 15, παράγραφος 1, στοιχείο δʹ – Υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων – Διαβίβαση ψευδωνυμοποιημένων δεδομένων σε τρίτο – Άρθρο 3, σημείο 1 – Έννοια των “δεδομένων προσωπικού χαρακτήρα” – Άρθρο 3, σημείο 6 – Έννοια της “ψευδωνυμοποίησης” »
Στην υπόθεση C‑413/23 P,
με αντικείμενο αίτηση αναιρέσεως δυνάμει του άρθρου 56 του Οργανισμού του Δικαστηρίου της Ευρωπαϊκής Ένωσης, που ασκήθηκε στις 5 Ιουλίου 2023,
Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ), εκπροσωπούμενος αρχικώς από την P. Candellier και τους G. Devin, X. Lareo, D. Nardi και T. Zerdick και στη συνέχεια από την P. Candellier και τους X. Lareo, D. Nardi, N. Stolić και T. Zerdick,
αναιρεσείων,
υποστηριζόμενος από το
Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, εκπροσωπούμενο από την C. Foglia, τη M. Gufflet, τον G. Le Grand και την I. Vereecken, επικουρούμενους από τους E. de Lophem, avocat, G. Ryelandt, advocaat, και P. Vernet, avocat,
παρεμβαίνον στη διαδικασία αναιρέσεως,
όπου ο έτερος διάδικος είναι:
Ενιαίο Συμβούλιο Εξυγίανσης (ΕΣΕ), εκπροσωπούμενο από τις H. Ehlers, M. Fernández Rupérez και A. Lapresta Bienz, επικουρούμενες από τους M. Braun, H.‑G. Kamann, Rechtsanwälte, και F. Louis, avocat,
προσφεύγον πρωτοδίκως,
υποστηριζόμενο από την
Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους A. Μπουχάγιαρ και H. Kranenborg,
παρεμβαίνουσα στη διαδικασία αναιρέσεως,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (πρώτο τμήμα),
συγκείμενο από τους F. Biltgen, πρόεδρο τμήματος, T. von Danwitz (εισηγητή), Αντιπρόεδρο του Δικαστηρίου, ασκούντα καθήκοντα δικαστή του πρώτου τμήματος, A. Kumin, I. Ziemele και S. Gervasoni, δικαστές,
γενικός εισαγγελέας: D. Spielmann
γραμματέας: M. Longar, διοικητικός υπάλληλος,
έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 7ης Νοεμβρίου 2024,
αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 6ης Φεβρουαρίου 2025,
εκδίδει την ακόλουθη
Απόφαση
1 Με την υπό κρίση αίτηση αναιρέσεως, ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων (ΕΕΠΔ) ζητεί την αναίρεση της αποφάσεως του Γενικού Δικαστηρίου της Ευρωπαϊκής Ένωσης της 26ης Απριλίου 2023, ΕΣΕ κατά ΕΕΠΔ (T‑557/20, στο εξής: αναιρεσιβαλλόμενη απόφαση, EU:T:2023:219), με την οποία το Γενικό Δικαστήριο ακύρωσε την αναθεωρημένη απόφαση του ΕΕΠΔ της 24ης Νοεμβρίου 2020, η οποία εκδόθηκε κατόπιν αίτησης του Ενιαίου Συμβουλίου Εξυγίανσης (ΕΣΕ) για επανεξέταση της από 24 Ιουνίου 2020 αποφάσεως του ΕΕΠΔ σχετικά με πέντε καταγγελίες που υπέβαλαν πλείονες καταγγέλλοντες (υποθέσεις 2019‑947, 2019‑998, 2019‑999, 2019‑1000 και 2019‑1122) (στο εξής: επίδικη απόφαση).
I. Το νομικό πλαίσιο
2 Οι αιτιολογικές σκέψεις 5, 16, 17 και 35 του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ (ΕΕ 2018, L 295, σ. 39), έχουν ως εξής:
«(5) Η ευθυγράμμιση, στο μέτρο του δυνατού, των κανόνων προστασίας των δεδομένων που εφαρμόζουν τα θεσμικά και λοιπά όργανα και οι οργανισμοί της [Ευρωπαϊκής] Ένωσης με τους θεσπισμένους κανόνες προστασίας των δεδομένων που εφαρμόζει ο δημόσιος τομέας των κρατών μελών προάγει τη συνεκτική προσέγγιση στην προστασία των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση, καθώς και την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης. Οσάκις οι διατάξεις του παρόντος κανονισμού ακολουθούν τις ίδιες αρχές με τις διατάξεις του κανονισμού (ΕΕ) 2016/679 [του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, στο εξής: ΓΚΠΔ)], οι διατάξεις των εν λόγω δύο πράξεων θα πρέπει, με βάση τη νομολογία του [Δικαστηρίου], να ερμηνεύονται ομοιόμορφα, ιδίως διότι η οικονομία του παρόντος κανονισμού θα πρέπει να νοείται ως αντίστοιχη με αυτή του κανονισμού (ΕΕ) 2016/679.
[…]
(16) Οι αρχές της προστασίας των δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο. Τα δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ψευδωνυμοποίηση και τα οποία θα μπορούσαν να συσχετισθούν με φυσικό πρόσωπο με τη χρήση συμπληρωματικών πληροφοριών θα πρέπει να θεωρούνται πληροφορίες σχετικά με ταυτοποιήσιμο φυσικό πρόσωπο. Για να κριθεί κατά πόσον ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν, όπως για παράδειγμα ο διαχωρισμός του, είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου. Για να διαπιστωθεί κατά πόσον κάποια μέσα είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν για την εξακρίβωση της ταυτότητας του φυσικού προσώπου, θα πρέπει να λαμβάνονται υπόψη όλοι οι αντικειμενικοί παράγοντες, όπως τα έξοδα και ο χρόνος που απαιτούνται για την ταυτοποίηση, λαμβανομένων υπόψη της τεχνολογίας που είναι διαθέσιμη κατά τον χρόνο της επεξεργασίας και των εξελίξεων της τεχνολογίας. Οι αρχές της προστασίας των δεδομένων δεν θα πρέπει συνεπώς να εφαρμόζονται σε ανώνυμες πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο ή σε δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί. Ο παρών κανονισμός δεν αφορά συνεπώς την επεξεργασία τέτοιων ανώνυμων πληροφοριών, ούτε μεταξύ άλλων για στατιστικούς ή ερευνητικούς σκοπούς.
(17) Η χρήση της ψευδωνυμοποίησης στα δεδομένα προσωπικού χαρακτήρα μπορεί να μειώσει τους κινδύνους για τα υποκείμενα των δεδομένων και να διευκολύνει τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία να τηρήσουν τις οικείες υποχρεώσεις περί προστασίας των δεδομένων. Η ρητή εισαγωγή της “ψευδωνυμοποίησης” του παρόντος κανονισμού δεν προορίζεται να αποκλείσει κάθε άλλο μέτρο προστασίας των δεδομένων.
[…]
(35) Οι αρχές της δίκαιης και διαφανούς επεξεργασίας απαιτούν να ενημερώνεται το υποκείμενο των δεδομένων για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της. Ο υπεύθυνος επεξεργασίας θα πρέπει να παρέχει στο υποκείμενο των δεδομένων κάθε περαιτέρω πληροφορία που είναι αναγκαία για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας, λαμβανομένων υπόψη των ειδικών συνθηκών και του πλαισίου εντός του οποίου πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Περαιτέρω, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται αν καταρτίζεται το προφίλ του και ποιες συνέπειες έχει αυτό. Εάν τα δεδομένα προσωπικού χαρακτήρα παρέχονται από το υποκείμενο των δεδομένων, το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται επίσης για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα προσωπικού χαρακτήρα και για τις συνέπειες, όταν δεν παρέχει τα εν λόγω δεδομένα. Οι πληροφορίες αυτές μπορούν να παρέχονται σε συνδυασμό με τυποποιημένα εικονίδια προκειμένου να δίνεται με ευδιάκριτο, κατανοητό και ευανάγνωστο τρόπο μια ουσιώδης επισκόπηση της σκοπούμενης επεξεργασίας. Εάν τα εικονίδια διατίθενται ηλεκτρονικά, θα πρέπει να είναι μηχανικώς αναγνώσιμα.»
3 Το άρθρο 3, σημεία 1, 6, 8 και 13, του κανονισμού 2018/1725, το οποίο φέρει τον τίτλο «Ορισμοί», προβλέπει τα ακόλουθα:
«Για την εφαρμογή του παρόντος κανονισμού, εφαρμόζονται οι ακόλουθοι ορισμοί:
1) “δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (“υποκείμενο των δεδομένων”)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
[…]
6) “ψευδωνυμοποίηση”: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο,
[…]
8) “υπεύθυνος της επεξεργασίας”: το όργανο ή ο οργανισμός της Ένωσης ή η Γενική Διεύθυνση ή οποιαδήποτε άλλη διοικητική ενότητα που, αυτοτελώς ή από κοινού με άλλους, καθορίζει τους στόχους και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι στόχοι και ο τρόπος της εν λόγω επεξεργασίας καθορίζονται σε ειδική πράξη της Ένωσης, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορεί να προβλέπονται από το δίκαιο της Ένωσης,
[…]
13) “αποδέκτης”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, προς τα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
[…]».
4 Το άρθρο 4 του ως άνω κανονισμού, το οποίο φέρει τον τίτλο «Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα», ορίζει στην παράγραφο 2 τα εξής:
«Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (“λογοδοσία”).»
5 Το άρθρο 14 του εν λόγω κανονισμού, το οποίο επιγράφεται «Διαφανής ενημέρωση, ανακοίνωση και ρυθμίσεις για την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων», προβλέπει στην παράγραφο 1 τα ακόλουθα:
«Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία που αναφέρεται στα άρθρα 15 και 16 και κάθε ανακοίνωση στο πλαίσιο των άρθρων 17 έως 24 και του άρθρου 35 σχετικά με την επεξεργασία σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν πρόκειται για πληροφορία απευθυνόμενη ειδικά σε παιδιά. Οι πληροφορίες παρέχονται γραπτώς ή με άλλα μέσα, μεταξύ άλλων, εφόσον ενδείκνυται, ηλεκτρονικώς. Όταν ζητείται από το υποκείμενο των δεδομένων, οι πληροφορίες μπορούν να δίνονται προφορικά, υπό την προϋπόθεση ότι η ταυτότητα του υποκειμένου των δεδομένων είναι αποδεδειγμένη με άλλα μέσα.»
6 Το άρθρο 15 του ίδιου κανονισμού, το οποίο φέρει τον τίτλο «Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων», ορίζει τα εξής:
«1. Όταν δεδομένα προσωπικού χαρακτήρα που αφορούν υποκείμενο δεδομένων συλλέγονται από το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων όλες τις ακόλουθες πληροφορίες:
[…]
δ) τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν,
[…]
2. Εκτός από τις πληροφορίες που αναφέρονται στην παράγραφο 1, ο υπεύθυνος επεξεργασίας, κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα, παρέχει στο υποκείμενο των δεδομένων τις εξής πρόσθετες πληροφορίες που είναι αναγκαίες για την εξασφάλιση θεμιτής και διαφανούς επεξεργασίας:
α) το χρονικό διάστημα για το οποίο θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, τα κριτήρια που καθορίζουν το εν λόγω χρονικό διάστημα,
β) την ύπαρξη δικαιώματος υποβολής αιτήματος στον υπεύθυνο επεξεργασίας για πρόσβαση και διόρθωση ή διαγραφή των δεδομένων προσωπικού χαρακτήρα ή περιορισμό της επεξεργασίας που αφορούν το υποκείμενο των δεδομένων ή, εφόσον συντρέχει περίπτωση, δικαιώματος εναντίωσης στην επεξεργασία, καθώς και δικαιώματος στη φορητότητα των δεδομένων,
[…]
ε) κατά πόσο η παροχή δεδομένων προσωπικού χαρακτήρα αποτελεί νομική ή συμβατική υποχρέωση ή απαίτηση για τη σύναψη σύμβασης, καθώς και κατά πόσο το υποκείμενο των δεδομένων υποχρεούται να παρέχει τα δεδομένα προσωπικού χαρακτήρα και ποιες ενδεχόμενες συνέπειες θα είχε η μη παροχή των δεδομένων αυτών,
[…]».
7 Το άρθρο 24 του κανονισμού 2018/1725 καθορίζει τις προϋποθέσεις υπό τις οποίες μπορούν να λαμβάνονται ατομικές αποφάσεις βάσει αυτοματοποιημένης επεξεργασίας, συμπεριλαμβανομένης της κατάρτισης προφίλ.
8 Το άρθρο 26 του κανονισμού αυτού, το οποίο φέρει τον τίτλο «Ευθύνη του υπεύθυνου επεξεργασίας», προβλέπει στην παράγραφο 1 τα εξής:
«Λαμβάνοντας υπόψη τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον παρόντα κανονισμό. Τα εν λόγω μέτρα επανεξετάζονται και επικαιροποιούνται όταν κρίνεται απαραίτητο.»
II. Το ιστορικό της διαφοράς
9 Το ιστορικό της διαφοράς παρατίθεται στις σκέψεις 2 έως 32 της αναιρεσιβαλλομένης αποφάσεως και μπορεί να συνοψισθεί ως ακολούθως.
10 Στις 7 Ιουνίου 2017 η εκτελεστική σύνοδος του ΕΣΕ εξέδωσε την απόφαση SRB/EES/2017/08, σχετικά με καθεστώς εξυγίανσης της Banco Popular Español SA, βάσει του κανονισμού (ΕΕ) 806/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Ιουλίου 2014, περί θεσπίσεως ενιαίων κανόνων και διαδικασίας για την εξυγίανση πιστωτικών ιδρυμάτων και ορισμένων επιχειρήσεων επενδύσεων στο πλαίσιο ενός Ενιαίου Μηχανισμού Εξυγίανσης και ενός Ενιαίου Ταμείου Εξυγίανσης και τροποποιήσεως του κανονισμού (ΕΕ) αριθ. 1093/2010 (ΕΕ 2014, L 225, σ. 1) (στο εξής: κανονισμός ΕΜΕ).
11 Με την απόφαση αυτή, το ΕΣΕ, εκτιμώντας ότι πληρούνταν οι προϋποθέσεις του άρθρου 18, παράγραφος 1, του κανονισμού ΕΜΕ, αποφάσισε να θέσει την Banco Popular Español SA (στο εξής: Banco Popular) υπό εξυγίανση. Ειδικότερα, το ΕΣΕ αποφάσισε την απομείωση και μετατροπή των κεφαλαιακών μέσων της Banco Popular κατ’ εφαρμογήν του άρθρου 21 του ως άνω κανονισμού και την εφαρμογή του εργαλείου πώλησης δραστηριοτήτων δυνάμει του άρθρου 24 του εν λόγω κανονισμού μέσω της μεταβίβασης των μετοχών σε αγοραστή.
12 Η Ευρωπαϊκή Επιτροπή εξέδωσε αυθημερόν την απόφαση (ΕΕ) 2017/1246, για την αποδοχή του καθεστώτος εξυγίανσης για την Banco Popular Español SA (ΕΕ 2017, L 178, σ. 15).
13 Κατόπιν της υπαγωγής της Banco Popular σε καθεστώς εξυγίανσης, το ΕΣΕ ανέθεσε στην ελεγκτική και συμβουλευτική εταιρία Deloitte την προβλεπόμενη στο άρθρο 20, παράγραφοι 16 έως 18, του κανονισμού ΕΜΕ αποτίμηση της διαφοράς ως προς τη μεταχείριση, προκειμένου να διαπιστωθεί κατά πόσον οι μέτοχοι και οι πιστωτές της Banco Popular θα είχαν τύχει καλύτερης μεταχείρισης αν η Banco Popular είχε τεθεί υπό κανονική διαδικασία αφερεγγυότητας (στο εξής: αποτίμηση 3). Στις 14 Ιουνίου 2018 η Deloitte διαβίβασε την αποτίμηση αυτή στο ΕΣΕ.
14 Στις 6 Αυγούστου 2018 το ΕΣΕ δημοσίευσε στην ιστοσελίδα του την κοινοποίηση της 2ας Αυγούστου 2018 σχετικά με την προκαταρκτική απόφαση για το αν πρέπει να χορηγηθεί αποζημίωση στους μετόχους και τους πιστωτές σε σχέση με τις δράσεις εξυγίανσης που έχουν πραγματοποιηθεί για την Banco Popular Español SA και την έναρξη της διαδικασίας ακρόασης (SRB/EES/2018/132) (στο εξής: προκαταρκτική απόφαση), καθώς και ένα μη εμπιστευτικό κείμενο της αποτίμησης 3. Στις 7 Αυγούστου 2018 δημοσιεύθηκε στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης ανακοίνωση σχετικά με την κοινοποίηση αυτή (ΕΕ 2018, C 277 I, σ. 1).
15 Στην προκαταρκτική απόφαση, το ΕΣΕ επισήμανε ότι, προκειμένου να μπορέσει να λάβει τελική απόφαση για το κατά πόσον πρέπει να χορηγηθεί αποζημίωση στους θιγόμενους από την εξυγίανση της Banco Popular μετόχους και πιστωτές (στο εξής: θιγόμενοι μέτοχοι και πιστωτές) βάσει του άρθρου 76, παράγραφος 1, στοιχείο εʹ, του κανονισμού ΕΜΕ, κάλεσε τους τελευταίους να εκδηλώσουν το ενδιαφέρον τους για την άσκηση του δικαιώματος ακρόασης κατ’ εφαρμογήν του άρθρου 41, παράγραφος 2, στοιχείο αʹ, του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης).
Α. Επί της σχετικής με το δικαίωμα ακρόασης διαδικασίας
16 Σύμφωνα με τα αναφερόμενα στην προκαταρκτική απόφαση, η σχετική με το δικαίωμα ακρόασης διαδικασία θα διεξαγόταν σε δύο φάσεις.
17 Σε πρώτη φάση (στο εξής: φάση εγγραφής), οι θιγόμενοι μέτοχοι και πιστωτές θα καλούνταν να εκδηλώσουν, έως τις 14 Σεπτεμβρίου 2018, το ενδιαφέρον τους για την άσκηση του δικαιώματος ακρόασης μέσω εντύπου ηλεκτρονικής εγγραφής. Κατά τη φάση αυτή, οι θιγόμενοι μέτοχοι και πιστωτές που επιθυμούσαν να ασκήσουν το δικαίωμα ακρόασης έπρεπε να προσκομίσουν στο ΕΣΕ τα δικαιολογητικά που αποδείκνυαν ότι, κατά τον χρόνο της εξυγίανσης της Banco Popular, κατείχαν ένα ή περισσότερα κεφαλαιακά μέσα της που απομειώθηκαν ή μετατράπηκαν και μεταβιβάστηκαν στην Banco Santander SA στο πλαίσιο της εξυγίανσης. Τα δικαιολογητικά που έπρεπε να προσκομιστούν περιελάμβαναν έγγραφο ταυτότητας καθώς και απόδειξη ότι ο ενδιαφερόμενος κατείχε, στις 6 Ιουνίου 2017, ένα από τα εν λόγω κεφαλαιακά μέσα. Εν συνεχεία, το ΕΣΕ θα εξακρίβωνε αν όσοι εκδήλωσαν ενδιαφέρον είχαν πράγματι την ιδιότητα του θιγόμενου μετόχου ή πιστωτή.
18 Κατά την έναρξη της φάσης εγγραφής στις 6 Αυγούστου 2018, το ΕΣΕ δημοσίευσε επίσης, στον ιστότοπο εγγραφής στη σχετική με το δικαίωμα ακρόασης διαδικασία καθώς και στον ιστότοπό του, δήλωση εμπιστευτικότητας σχετικά με την επεξεργασία στην οποία θα υποβάλλονταν τα δεδομένα προσωπικού χαρακτήρα στο πλαίσιο της διαδικασίας αυτής (στο εξής: δήλωση εμπιστευτικότητας).
19 Στη δεύτερη φάση (στο εξής: φάση διαβούλευσης), τα πρόσωπα των οποίων το καθεστώς ως θιγόμενων μετόχων και πιστωτών είχε ελεγχθεί από το ΕΣΕ θα μπορούσαν να υποβάλουν τις παρατηρήσεις τους σχετικά με την προκαταρκτική απόφαση, στην οποία επισυναπτόταν ως παράρτημα η αποτίμηση 3. Στις 16 Οκτωβρίου 2018 το ΕΣΕ ανακοίνωσε στον ιστότοπό του ότι, από τις 6 Νοεμβρίου 2018, οι θιγόμενοι μέτοχοι και πιστωτές θα καλούνταν να υποβάλουν γραπτώς τις παρατηρήσεις τους επί της προκαταρκτικής αποφάσεως κατά τη φάση της διαβούλευσης.
20 Στις 6 Νοεμβρίου 2018 το ΕΣΕ απέστειλε μέσω ηλεκτρονικού ταχυδρομείου στους θιγόμενους μετόχους και πιστωτές έναν ενιαίο προσωπικό σύνδεσμο που τους παρέπεμπε σε έντυπο μέσω διαδικτύου, το οποίο περιείχε επτά ερωτήσεις με περιορισμένο πεδίο απάντησης και παρείχε στους θιγόμενους μετόχους και πιστωτές τη δυνατότητα να υποβάλουν, πριν από τις 26 Νοεμβρίου 2018, παρατηρήσεις σχετικά με την προκαταρκτική απόφαση καθώς και σχετικά με το μη εμπιστευτικό κείμενο της αποτίμησης 3.
21 Το ΕΣΕ εξέτασε τις σχετικές με την προκαταρκτική απόφαση παρατηρήσεις των θιγόμενων μετόχων και πιστωτών. Ζήτησε από την Deloitte, υπό την ιδιότητά της ως ανεξάρτητου αξιολογητή, να αξιολογήσει τις αφορώσες την αποτίμηση 3 παρατηρήσεις, να του διαβιβάσει εγγράφως την αξιολόγησή της και να εξετάσει αν η αποτίμηση αυτή εξακολουθούσε να είναι έγκυρη υπό το πρίσμα των εν λόγω παρατηρήσεων.
Β. Επί της επεξεργασίας των δεδομένων που συνέλεξε το ΕΣΕ στο πλαίσιο της σχετικής με το δικαίωμα ακρόασης διαδικασίας
22 Τα δεδομένα που συνελέγησαν κατά τη φάση εγγραφής, συγκεκριμένα δε τα αποδεικτικά στοιχεία της ταυτότητας των θιγόμενων μετόχων και πιστωτών και της ιδιοκτησίας κεφαλαιακών μέσων της Banco Popular που απομειώθηκαν ή μετατράπηκαν και μεταβιβάστηκαν, ήταν προσβάσιμα σε περιορισμένο αριθμό υπαλλήλων του ΕΣΕ, ήτοι σε εκείνους που ήταν επιφορτισμένοι με την επεξεργασία των εν λόγω δεδομένων προκειμένου να εκτιμηθεί κατά πόσον οι ως άνω μέτοχοι και πιστωτές μπορούσαν να λάβουν αποζημίωση.
23 Τα μέλη του προσωπικού του ΕΣΕ που ήταν επιφορτισμένα με την επεξεργασία των παρατηρήσεων που ελήφθησαν κατά τη φάση της διαβούλευσης δεν είχαν πρόσβαση ούτε στα δεδομένα που συλλέχθηκαν κατά το στάδιο της εγγραφής, ούτως ώστε οι εν λόγω παρατηρήσεις να είναι διαχωρισμένες από τα προσωπικά στοιχεία των θιγόμενων μετόχων και πιστωτών που τις υπέβαλαν, ούτε στο κλειδί των δεδομένων ή στις πληροφορίες που καθιστούσαν δυνατή την ταυτοποίηση θιγόμενου μετόχου ή πιστωτή με βάση τον μοναδικό αλφαριθμητικό κωδικό ο οποίος αντιστοιχούσε σε κάθε παρατήρηση που είχε υποβληθεί μέσω του εντύπου. Ο εν λόγω αλφαριθμητικός κωδικός αποτελούνταν από έναν μοναδικό καθολικό αναγνωριστικό κωδικό 33 ψηφίων, παραγόμενο τυχαία κατά τον χρόνο παραλαβής των απαντήσεων στο έντυπο.
24 Σε πρώτο στάδιο, το ΕΣΕ πραγματοποίησε αυτόματο φιλτράρισμα 23 822 παρατηρήσεων από 2 855 συμμετέχοντες στη διαδικασία, εκάστη εκ των οποίων έφερε ενιαίο αλφαριθμητικό κωδικό. Δύο αλγόριθμοι εντόπισαν 20 101 πανομοιότυπες παρατηρήσεις. Στην περίπτωση αυτή, η παρατήρηση που υποβλήθηκε πρώτη θεωρήθηκε ως η πρωτότυπη παρατήρηση, η οποία ελήφθη υπόψη κατά τη φάση της ανάλυσης, ενώ οι μεταγενεστέρως υποβληθείσες πανομοιότυπες παρατηρήσεις θεωρήθηκαν διπλές εγγραφές.
25 Σε δεύτερο στάδιο, το ΕΣΕ εντόπισε τις υποβληθείσες παρατηρήσεις που ενέπιπταν στο πεδίο εφαρμογής της σχετικής με το δικαίωμα ακρόασης διαδικασίας, καθόσον μπορούσαν να επηρεάσουν την προκαταρκτική απόφαση ή την αποτίμηση 3. Στη συνέχεια, το ΕΣΕ διαχώρισε τις παρατηρήσεις αυτές, αφενός, σε παρατηρήσεις που έπρεπε να εξεταστούν από το ΕΣΕ, καθόσον αφορούσαν την προκαταρκτική απόφαση, και, αφετέρου, σε παρατηρήσεις που έπρεπε να εξεταστούν από την Deloitte, καθόσον αφορούσαν την αποτίμηση 3. Κατά το πέρας του σταδίου αυτού, το ΕΣΕ κατέγραψε 3 730 παρατηρήσεις τις οποίες ταξινόμησε ανάλογα με την κρισιμότητά τους και το αντικείμενό τους.
26 Σε ένα τρίτο στάδιο, το ΕΣΕ εξέτασε τις σχετικές με την προκαταρκτική απόφαση παρατηρήσεις και στις 17 Ιουνίου 2019 διαβίβασε στην Deloitte, μέσω ενός αποκλειστικού για το ΕΣΕ ασφαλούς εικονικού διακομιστή δεδομένων, 1 104 παρατηρήσεις σχετικές με την αποτίμηση 3. Το ΕΣΕ μεταφόρτωσε στον ως άνω διακομιστή τα προς κοινοποίηση στην Deloitte αρχεία και παρέσχε πρόσβαση σε περιορισμένο και ελεγχόμενο αριθμό μελών του προσωπικού της Deloitte, ήτοι στα άμεσα εμπλεκόμενα με την εξέταση των σχετικών με την αποτίμηση 3 παρατηρήσεων.
27 Οι παρατηρήσεις διαβιβάστηκαν στην Deloitte φιλτραρισμένες, κατηγοριοποιημένες και συγκεντρωμένες. Οσάκις επρόκειτο για αντίγραφα προγενέστερων παρατηρήσεων, διαβιβάστηκε στην Deloitte μία μόνον παρατήρηση, με αποτέλεσμα οι επαναλαμβανόμενες παρατηρήσεις στο πλαίσιο της ίδιας θεματικής κατηγορίας να μην είναι διακριτές και η Deloitte να μην μπορεί να γνωρίζει αν μια παρατήρηση είχε διατυπωθεί από έναν ή περισσότερους συμμετέχοντες στη σχετική με το δικαίωμα ακρόασης διαδικασία.
28 Στην Deloitte διαβιβάστηκαν μόνον οι παρατηρήσεις που είχαν ληφθεί κατά τη φάση της διαβούλευσης και έφεραν αλφαριθμητικό κωδικό. Το δε ΕΣΕ ήταν το μόνο που μπορούσε να συσχετίσει, μέσω του εν λόγω κωδικού, τις παρατηρήσεις με τα δεδομένα, μεταξύ άλλων, τα δεδομένα ταυτοποίησης των συντακτών των παρατηρήσεων, τα οποία έλαβε κατά τη φάση της εγγραφής. Ο αλφαριθμητικός κωδικός δημιουργήθηκε για λόγους ελέγχου, προκειμένου να καταστεί δυνατή η επαλήθευση και, ενδεχομένως, η απόδειξη, στο πλαίσιο ένδικης διαδικασίας, ότι κάθε παρατήρηση είχε υποβληθεί σε επεξεργασία και είχε ληφθεί δεόντως υπόψη. Κατά τη διάρκεια της σχετικής με το δικαίωμα ακρόασης διαδικασίας η Deloitte δεν είχε πρόσβαση στη βάση των δεδομένων που συνελέγησαν κατά τη φάση της εγγραφής και εξακολουθούσε να μην έχει πρόσβαση κατά τον χρόνο έκδοσης της αναιρεσιβαλλομένης αποφάσεως.
Γ. Επί της διαδικασίας ενώπιον του ΕΕΠΔ
29 Τον Οκτώβριο και τον Δεκέμβριο του 2019 θιγόμενοι μέτοχοι και πιστωτές που απάντησαν στο έντυπο υπέβαλαν στον ΕΕΠΔ πέντε καταγγελίες βάσει του κανονισμού 2018/1725. Με τις καταγγελίες αυτές προέβαλαν παράβαση του άρθρου 15, παράγραφος 1, στοιχείο δʹ, του ως άνω κανονισμού, λόγω του ότι το ΕΣΕ δεν τους είχε ενημερώσει ότι τα δεδομένα που συνελέγησαν μέσω των απαντήσεων στο έντυπο θα διαβιβάζονταν σε τρίτους, και συγκεκριμένα, στην Deloitte και την Banco Santander, κατά παράβαση των όρων της δήλωσης εμπιστευτικότητας.
30 Μετά την περάτωση διαδικασίας κατά την οποία το ΕΣΕ παρέσχε ορισμένες διευκρινίσεις κατόπιν αιτήματος του ΕΕΠΔ και οι καταγγέλλοντες υπέβαλαν παρατηρήσεις, ο ΕΕΠΔ εξέδωσε στις 24 Ιουνίου 2020 απόφαση σχετικά με πέντε καταγγελίες υποβληθείσες από πλείονες καταγγέλλοντες κατά του Ενιαίου Συμβουλίου Εξυγίανσης (υποθέσεις 2019‑947, 2019‑998, 2019‑999, 2019‑1000 και 2019‑1122) (στο εξής: αρχική απόφαση). Με την απόφαση αυτή, ο ΕΕΠΔ έκρινε ότι το ΕΣΕ παρέβη το άρθρο 15 του κανονισμού 2018/1725, καθόσον δεν ενημέρωσε, με τη δήλωση εμπιστευτικότητας, τους καταγγέλλοντες σχετικά με το ενδεχόμενο να κοινοποιηθούν τα δεδομένα τους προσωπικού χαρακτήρα στην Deloitte. Κατά συνέπεια, απηύθυνε στο ΕΣΕ επίπληξη για την παράβαση αυτή δυνάμει του άρθρου 58, παράγραφος 2, στοιχείο βʹ, του ως άνω κανονισμού.
31 Στις 22 Ιουλίου 2020 το ΕΣΕ ζήτησε από τον ΕΕΠΔ να επανεξετάσει την αρχική απόφαση δυνάμει του άρθρου 18, παράγραφος 1, της αποφάσεως του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, της 15ης Μαΐου 2020, για την έκδοση του εσωτερικού κανονισμού του ΕΕΠΔ (ΕΕ 2020, L 204, σ. 49). Το ΕΣΕ παρέσχε, ειδικότερα, λεπτομερή περιγραφή της σχετικής με το δικαίωμα ακρόασης διαδικασίας καθώς και της ανάλυσης των παρατηρήσεων που υπέβαλαν τέσσερις από τους ταυτοποιηθέντες καταγγέλλοντες κατά τη φάση της διαβούλευσης. Υποστήριξε ότι οι πληροφορίες που διαβιβάστηκαν στην Deloitte δεν αποτελούσαν δεδομένα προσωπικού χαρακτήρα κατά την έννοια του άρθρου 3, σημείο 1, του κανονισμού 2018/1725.
32 Στις 5 Αυγούστου 2020 ο ΕΕΠΔ ενημέρωσε το ΕΣΕ ότι, υπό το πρίσμα των νέων στοιχείων που παρασχέθηκαν, αποφάσισε να επανεξετάσει την αρχική απόφαση και ότι θα εξέδιδε απόφαση προς αντικατάστασή της.
33 Στις 24 Νοεμβρίου 2020, μετά το πέρας της διαδικασίας επανεξέτασης, κατά τη διάρκεια της οποίας οι καταγγέλλοντες υπέβαλαν παρατηρήσεις και το ΕΣΕ παρέσχε συμπληρωματικές πληροφορίες κατόπιν αιτήματος του ΕΕΠΔ, ο τελευταίος εξέδωσε την επίδικη απόφαση.
34 Με την απόφαση αυτή, ο ΕΕΠΔ αναθεώρησε την αρχική απόφαση ως εξής:
«1. Ο ΕΕΠΔ εκτιμά ότι τα δεδομένα που κοινοποίησε το ΕΣΕ στην Deloitte είχαν ψευδωνυμοποιηθεί τόσον επειδή τα σχόλια της φάσης [διαβούλευσης] αποτελούσαν δεδομένα προσωπικού χαρακτήρα όσο και επειδή το ΕΣΕ κοινοποίησε τον αλφαριθμητικό κωδικό που καθιστούσε δυνατή τη σύνδεση των απαντήσεων που ελήφθησαν κατά τη φάση της [εγγραφής] με εκείνες της φάσης [διαβούλευσης], μολονότι τα δεδομένα που υπέβαλαν οι συμμετέχοντες για να ταυτοποιηθούν κατά το στάδιο [εγγραφής] δεν κοινοποιήθηκαν στην Deloitte.
2. Ο ΕΕΠΔ εκτιμά ότι η Deloitte ήταν αποδέκτης δεδομένων προσωπικού χαρακτήρα των καταγγελλόντων κατά την έννοια του άρθρου 3, σημείο 13, του κανονισμού 2018/1725. Το γεγονός ότι στη δήλωση εμπιστευτικότητας του ΕΣΕ δεν αναφέρθηκε η Deloitte ως δυνητικός αποδέκτης των δεδομένων προσωπικού χαρακτήρα που συλλέχθηκαν και υποβλήθηκαν σε επεξεργασία από το ΕΣΕ, υπό την ιδιότητά του ως υπεύθυνου επεξεργασίας στο πλαίσιο της σχετικής με το δικαίωμα ακρόασης διαδικασίας, συνιστά παράβαση της υποχρέωσης ενημέρωσης που προβλέπεται στο άρθρο 15, παράγραφος 1, στοιχείο δʹ, [του κανονισμού 2018/1725].
3. Λαμβάνοντας υπόψη όλα τα τεχνικά και οργανωτικά μέτρα που έχει θέσει σε εφαρμογή το ΕΣΕ για τον μετριασμό των κινδύνων για το δικαίωμα των φυσικών προσώπων στην προστασία των δεδομένων στο πλαίσιο της σχετικής με το δικαίωμα ακρόασης διαδικασίας, ο ΕΕΠΔ αποφασίζει να μην ασκήσει τις διορθωτικές εξουσίες που προβλέπονται στο άρθρο 58, παράγραφος 2, [του κανονισμού 2018/1725].
4. Ωστόσο, ο ΕΕΠΔ συνιστά στο ΕΣΕ να διασφαλίσει ότι οι δηλώσεις του περί εμπιστευτικότητας σε μελλοντικές διαδικασίες σχετικά με το δικαίωμα ακρόασης καλύπτουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα τόσο κατά τη φάση της εγγραφής όσο και κατά τη φάση της διαβούλευσης και ότι περιλαμβάνουν όλους τους δυνητικούς αποδέκτες των πληροφοριών που συλλέγονται, προκειμένου να τηρηθεί πλήρως η υποχρέωση ενημέρωσης των υποκειμένων των δεδομένων σύμφωνα με το άρθρο 15 [του κανονισμού 2018/1725].»
III. Η διαδικασία ενώπιον του Γενικού Δικαστηρίου και η αναιρεσιβαλλόμενη απόφαση
35 Με δικόγραφο που κατέθεσε στη Γραμματεία του Γενικού Δικαστηρίου την 1η Σεπτεμβρίου 2020, το ΕΣΕ άσκησε προσφυγή με αίτημα, αφενός, την ακύρωση της επίδικης αποφάσεως και, αφετέρου, τη διαπίστωση του παράνομου χαρακτήρα της αρχικής αποφάσεως.
36 Προς στήριξη του πρώτου αιτήματος το ΕΣΕ προέβαλε δύο λόγους ακυρώσεως, εκ των οποίων ο πρώτος αφορά παράβαση του άρθρου 3, σημείο 1, του κανονισμού 2018/1725, καθόσον οι πληροφορίες που διαβιβάστηκαν στην Deloitte δεν αποτελούσαν δεδομένα προσωπικού χαρακτήρα, και ο δεύτερος αφορά προσβολή του δικαιώματος χρηστής διοίκησης που κατοχυρώνεται στο άρθρο 41 του Χάρτη.
37 Με την αναιρεσιβαλλόμενη απόφαση, το Γενικό Δικαστήριο απέρριψε λόγω αναρμοδιότητας το δεύτερο αίτημα για τη διαπίστωση του παράνομου χαρακτήρα της αρχικής αποφάσεως, διότι το ΕΣΕ επιδίωκε την έκδοση αναγνωριστικής αποφάσεως και όχι την ακύρωση πράξης.
38 Αντιθέτως, το Γενικό Δικαστήριο έκρινε παραδεκτό το πρώτο αίτημα. Επί της ουσίας, δέχθηκε τον πρώτο λόγο ακυρώσεως και ακύρωσε την επίδικη απόφαση, χωρίς να εξετάσει τον δεύτερο λόγο ακυρώσεως.
IV. Η διαδικασία ενώπιον του Δικαστηρίου και τα αιτήματα των διαδίκων
39 Με απόφαση του Προέδρου του Δικαστηρίου της 20ής Οκτωβρίου 2023, επετράπη στην Ευρωπαϊκή Επιτροπή να παρέμβει υπέρ του ΕΣΕ. Με διάταξη του Προέδρου του Δικαστηρίου της 29ης Νοεμβρίου 2023, επετράπη στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων να παρέμβει υπέρ του ΕΕΠΔ.
40 Ο ΕΕΠΔ, υποστηριζόμενος από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, ζητεί από το Δικαστήριο:
– να αναιρέσει την αναιρεσιβαλλόμενη απόφαση·
– να αποφανθεί οριστικώς επί της διαφοράς και
– να καταδικάσει το ΕΣΕ στα δικαστικά έξοδα της αναιρετικής διαδικασίας και της διαδικασίας ενώπιον του Γενικού Δικαστηρίου.
41 Το ΕΣΕ, υποστηριζόμενο από την Επιτροπή, ζητεί από το Δικαστήριο:
– να απορρίψει την αίτηση αναιρέσεως·
– επικουρικώς, να ακυρώσει την επίδικη απόφαση·
– όλως επικουρικώς, να αναπέμψει την υπόθεση ενώπιον του Γενικού Δικαστηρίου και
– να καταδικάσει τον ΕΕΠΔ στα δικαστικά έξοδα της αναιρετικής διαδικασίας και της διαδικασίας ενώπιον του Γενικού Δικαστηρίου.
V. Επί της αιτήσεως αναιρέσεως
42 Προς στήριξη της υπό κρίση αιτήσεως αναιρέσεως, ο ΕΕΠΔ, υποστηριζόμενος από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, προβάλλει δύο λόγους αναιρέσεως, εκ των οποίων ο πρώτος αφορά παράβαση του άρθρου 3, σημεία 1 και 6, του κανονισμού 2018/1725, όπως το άρθρο αυτό έχει ερμηνευθεί από το Δικαστήριο, και ο δεύτερος παράβαση του άρθρου 4, παράγραφος 2, και του άρθρου 26, παράγραφος 1, του κανονισμού αυτού.
Α. Επί του πρώτου λόγου αναιρέσεως
43 Με τον πρώτο λόγο αναιρέσεως, ο ΕΕΠΔ υποστηρίζει, κατ’ ουσίαν, ότι το Γενικό Δικαστήριο υπέπεσε σε πλάνη περί το δίκαιο κατά την ερμηνεία του άρθρου 3, σημεία 1 και 6, του κανονισμού 2018/1725, αποφαινόμενο ότι ο ΕΕΠΔ κακώς έκρινε, με την επίδικη απόφαση, ότι οι επίμαχες εν προκειμένω πληροφορίες συνιστούσαν δεδομένα προσωπικού χαρακτήρα. Ο πρώτος λόγος αναιρέσεως διαιρείται σε δύο σκέλη. Το πρώτο σκέλος αναφέρεται στην προϋπόθεση που προβλέπεται στο άρθρο 3, σημείο 1, του ως άνω κανονισμού, κατά την οποία η πληροφορία «αφορά» φυσικό πρόσωπο, και το δεύτερο σκέλος αναφέρεται στην προβλεπόμενη στην ίδια διάταξη προϋπόθεση, το πρόσωπο αυτό να είναι «ταυτοποιήσιμο».
1. Επί του πρώτου σκέλους με το οποίο προβάλλεται εσφαλμένη ερμηνεία της προβλεπόμενης στο άρθρο 3, σημείο 1, του κανονισμού 2018/1725 προϋπόθεσης, κατά την οποία οι πληροφορίες πρέπει να «αφορούν» φυσικό πρόσωπο
α) Επιχειρήματα των διαδίκων
44 Με το πρώτο σκέλος του πρώτου λόγου αναιρέσεως, ο ΕΕΠΔ προβάλλει ότι, αντιθέτως προς όσα έκρινε το Γενικό Δικαστήριο στις σκέψεις 60 έως 74 της αναιρεσιβαλλομένης αποφάσεως, οι πληροφορίες που διαβιβάστηκαν στην Deloitte αφορούσαν φυσικό πρόσωπο, κατά την έννοια του άρθρου 3, σημείο 1, του κανονισμού 2018/1725.
45 Κατά πρώτον, ο ΕΕΠΔ υποστηρίζει ότι, αντιθέτως προς ό,τι συνάγεται από τη σκέψη 70 της αναιρεσιβαλλομένης αποφάσεως, οι αρμόδιες για την προστασία των δεδομένων αρχές δεν μπορούν να υποχρεωθούν, σε κάθε περίπτωση, να εξετάζουν το περιεχόμενο, τον σκοπό ή το αποτέλεσμα μιας πληροφορίας προκειμένου να εξακριβώσουν αν αυτή αφορά φυσικό πρόσωπο. Κατά τον ΕΕΠΔ, τέτοιου είδους εξέταση δεν μπορεί, μεταξύ άλλων, να απαιτείται όσον αφορά τις παρατηρήσεις που διαβιβάστηκαν από το ΕΣΕ στην Deloitte, δεδομένου ότι οι παρατηρήσεις αυτές, κατ’ αυτόν, σαφώς «αφορούν» φυσικό πρόσωπο ως εκφράζουσες την προσωπική άποψη ορισμένων πιστωτών και μετόχων της Banco Popular σχετικά με το ενδεχόμενο δικαίωμά τους προς αποζημίωση δυνάμει του άρθρου 76, παράγραφος 1, στοιχείο εʹ, του κανονισμού ΕΜΕ.
46 Κατά δεύτερον, αντιθέτως προς τη διαπίστωση που περιλαμβάνεται στη σκέψη 71 της αναιρεσιβαλλομένης αποφάσεως, ο ΕΕΠΔ υποστηρίζει ότι, για να καταλήξει στην ύπαρξη δεδομένων προσωπικού χαρακτήρα, στηρίχθηκε όχι μόνο στη φύση των παρατηρήσεων που διαβιβάστηκαν στην Deloitte, αλλά και στο γεγονός ότι στην εταιρία αυτή είχε επίσης διαβιβαστεί ο αλφαριθμητικός κωδικός.
47 Κατά τρίτον, ο ΕΕΠΔ προβάλλει ότι η αναιρεσιβαλλόμενη απόφαση ενέχει αντίφαση, διότι το Γενικό Δικαστήριο, αφενός, επισήμανε στη σκέψη 7 της αποφάσεως ότι ο ίδιος ο σκοπός των παρατηρήσεων που διαβιβάστηκαν στην Deloitte ήταν να παρασχεθεί σε συγκεκριμένα φυσικά πρόσωπα, ήτοι στους θιγόμενους μετόχους και πιστωτές, η δυνατότητα να ασκήσουν το δικαίωμά τους προς ακρόαση ενόψει ενδεχόμενης αποζημίωσης δυνάμει του άρθρου 76, παράγραφος 1, στοιχείο εʹ, του κανονισμού ΕΜΕ. Σε αντίθεση προς την πρώτη αυτή διαπίστωση, το Γενικό Δικαστήριο έκρινε, αφετέρου, στη σκέψη 73 της εν λόγω αποφάσεως, ότι ο ΕΕΠΔ στηρίχθηκε σε τεκμήρια κατά τα οποία όλες οι παρατηρήσεις που διαβιβάστηκαν στην Deloitte συνιστούσαν δεδομένα προσωπικού χαρακτήρα, χωρίς να αποδείξει ότι οι παρατηρήσεις αυτές αφορούσαν φυσικά πρόσωπα.
48 Το ΕΣΕ, υποστηριζόμενο από την Επιτροπή, προβάλλει ότι η επιχειρηματολογία αυτή πρέπει να απορριφθεί.
49 Κατά πρώτον, σύμφωνα με τη νομολογία που απορρέει από τις αποφάσεις της 20ής Δεκεμβρίου 2017, Nowak (C‑434/16, EU:C:2017:994, σκέψεις 34 και 35), και της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF (C‑487/21, EU:C:2023:369, σκέψεις 23 και 24), πληροφορίες, αντικειμενικές ή υποκειμενικές, με τη μορφή γνώμης ή εκτιμήσεως, μπορούν να συνιστούν δεδομένα προσωπικού χαρακτήρα, υπό την προϋπόθεση ότι οι πληροφορίες αυτές «αφορούν» το συγκεκριμένο πρόσωπο. Επιπλέον, κατά την ως άνω νομολογία, η πληροφορία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο όταν, λόγω του περιεχομένου της, του σκοπού της ή του αποτελέσματός της, συνδέεται με ταυτοποιήσιμο πρόσωπο. Επομένως, το Γενικό Δικαστήριο ορθώς έκρινε, στις σκέψεις 70 έως 74 της αναιρεσιβαλλομένης αποφάσεως, ότι ο ΕΕΠΔ δεν έλαβε υπόψη την εν λόγω νομολογία, καθότι περιορίστηκε στην αναφορά ότι οι διαβιβασθείσες στην Deloitte παρατηρήσεις αντανακλούσαν τις γνώμες ή τις απόψεις των θιγόμενων μετόχων και πιστωτών χωρίς, επομένως, να εξετάσει αν, λόγω του περιεχομένου, του σκοπού ή του αποτελέσματός τους, οι παρατηρήσεις αυτές συνδέονταν με ταυτοποιήσιμο πρόσωπο.
50 Κατά δεύτερον, ο ισχυρισμός του ΕΕΠΔ, κατά τον οποίο η φύση των εν λόγω παρατηρήσεων ως δεδομένων προσωπικού χαρακτήρα απορρέει κατ’ ανάγκην από τον σκοπό τους, συνιστά νέο πραγματικό ισχυρισμό ο οποίος προβάλλεται το πρώτον ενώπιον του αναιρετικού δικαστηρίου και είναι, ως εκ τούτου, απαράδεκτος. Εν πάση περιπτώσει, ο ισχυρισμός αυτός είναι αλυσιτελής στο μέτρο που ο ΕΕΠΔ δεν εξέτασε το συγκεκριμένο σημείο στην επίδικη απόφαση.
51 Όσον αφορά, κατά τρίτον, την προβαλλόμενη αντιφατική αιτιολογία στις σκέψεις 7 και 73 της αναιρεσιβαλλομένης αποφάσεως, το ΕΣΕ υποστηρίζει ότι η περιγραφή που περιλαμβάνεται στη σκέψη 7 της αποφάσεως αυτής δεν περιέχει στοιχεία σχετικά με το περιεχόμενο, τον σκοπό ή το αποτέλεσμα των παρατηρήσεων που διαβιβάστηκαν στην Deloitte και, ως εκ τούτου, δεν αντιφάσκει προς το συμπέρασμα που διατυπώνεται στη σκέψη 73 της εν λόγω αποφάσεως.
β) Εκτίμηση του Δικαστηρίου
52 Προκαταρκτικώς, επισημαίνεται ότι ο ορισμός της έννοιας των «δεδομένων προσωπικού χαρακτήρα» στο άρθρο 3, σημείο 1, του κανονισμού 2018/1725 είναι κατ’ ουσίαν πανομοιότυπος με τον ορισμό της έννοιας αυτής στο άρθρο 4, σημείο 1, του ΓΚΠΔ, ο οποίος έχει, και αυτός, περιεχόμενο κατ’ ουσίαν ταυτόσημο προς εκείνο του άρθρου 2, στοιχείο αʹ, της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31). Επομένως, προκειμένου να διασφαλιστεί η ομοιόμορφη και συνεκτική εφαρμογή του δικαίου της Ένωσης, το άρθρο 3, σημείο 1, του κανονισμού 2018/1725, το άρθρο 4, σημείο 1, του ΓΚΠΔ και το άρθρο 2, στοιχείο αʹ, της οδηγίας 95/46 πρέπει να ερμηνεύονται κατά τον ίδιο τρόπο (πρβλ. αποφάσεις της 7ης Μαρτίου 2024, OC κατά Επιτροπής, C‑479/22 P, EU:C:2024:215, σκέψη 43, και της 7ης Μαρτίου 2024, IAB Europe, C‑604/22, EU:C:2024:214, σκέψη 33 και εκεί μνημονευόμενη νομολογία).
53 Το άρθρο 3, σημείο 1, του κανονισμού 2018/1725 ορίζει ότι δεδομένο προσωπικού χαρακτήρα συνιστά «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο».
54 Το Δικαστήριο έχει κρίνει ότι η χρήση της φράσης «κάθε πληροφορία» στο πλαίσιο του ορισμού της έννοιας των «δεδομένων προσωπικού χαρακτήρα», ο οποίος περιλαμβάνεται στην ως άνω διάταξη και στο άρθρο 4, σημείο 1, του ΓΚΠΔ, αντικατοπτρίζει τον σκοπό του νομοθέτη της Ένωσης να προσδώσει ευρύ νόημα στην έννοια, ώστε να καλύπτει δυνητικά κάθε είδος πληροφοριών, τόσο αντικειμενικών όσο και υποκειμενικών, με τη μορφή γνώμης ή εκτίμησης, υπό την προϋπόθεση ότι οι πληροφορίες αυτές «αφορούν» το συγκεκριμένο πρόσωπο (αποφάσεις της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 23 και εκεί μνημονευόμενη νομολογία· της 7ης Μαρτίου 2024, OC κατά Επιτροπής, C‑479/22 P, EU:C:2024:215, σκέψη 45, και της 4ης Οκτωβρίου 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, σκέψη 130).
55 Η πληροφορία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο όταν, λόγω του περιεχομένου της, του σκοπού της ή του αποτελέσματός της, συνδέεται με ταυτοποιήσιμο πρόσωπο (αποφάσεις της 20ής Δεκεμβρίου 2017, Nowak, C‑434/16, EU:C:2017:994, σκέψη 35· της 7ης Μαρτίου 2024, OC κατά Επιτροπής, C‑479/22 P, EU:C:2024:215, σκέψη 45, και της 7ης Μαρτίου 2024, IAB Europe, C‑604/22, EU:C:2024:214, σκέψη 37 και εκεί μνημονευόμενη νομολογία).
56 Εν προκειμένω, μολονότι το Γενικό Δικαστήριο επισήμανε, στη σκέψη 70 της αναιρεσιβαλλομένης αποφάσεως, ότι ο ΕΕΠΔ δεν εξέτασε ούτε το περιεχόμενο ούτε τον σκοπό ούτε το αποτέλεσμα των πληροφοριών που προέκυπταν από τις διαβιβασθείσες στην Deloitte παρατηρήσεις, εντούτοις, όπως συνάγεται από τις σκέψεις 71 και 72 της αποφάσεως αυτής, η διαπίστωση ότι οι παρατηρήσεις αντανακλούσαν τις γνώμες ή τις απόψεις των υποκειμένων των δεδομένων καθιστούσε αναγκαία την προηγούμενη εξέταση από τον ΕΕΠΔ του περιεχομένου των εν λόγω παρατηρήσεων. Με βάση τη διαπίστωση αυτή, ο ΕΕΠΔ κατέληξε στο συμπέρασμα ότι επρόκειτο για πληροφορίες που αφορούσαν τα υποκείμενα των δεδομένων. Σύμφωνα δε με τη νομολογία που υπομνήσθηκε στη σκέψη 55 της παρούσας αποφάσεως, η εξέταση του περιεχομένου μιας πληροφορίας δεν χρειάζεται κατ’ ανάγκην να συμπληρώνεται από εξέταση του σκοπού και των αποτελεσμάτων της πληροφορίας αυτής, όπως προκύπτει από τη χρήση του συνδέσμου «ή» ο οποίος συνδέει τα επιμέρους κριτήρια που ορίζονται στην ως άνω νομολογία.
57 Εντούτοις, στις σκέψεις 73 και 74 της αναιρεσιβαλλομένης αποφάσεως, το Γενικό Δικαστήριο έκρινε ότι ο ΕΕΠΔ δεν μπορούσε να χαρακτηρίσει τις πληροφορίες που προέκυπταν από τις διαβιβασθείσες στην Deloitte παρατηρήσεις ως δεδομένα προσωπικού χαρακτήρα επί τη βάσει και μόνον της διαπίστωσης ότι επρόκειτο για προσωπικές γνώμες ή απόψεις, αλλά, προκειμένου να κρίνει αν οι γνώμες που εκφράστηκαν κατ’ αυτόν τον τρόπο συνδέονταν με συγκεκριμένο πρόσωπο, όφειλε να εξετάσει, επιπλέον, το περιεχόμενο, τον σκοπό και το αποτέλεσμά τους.
58 Η εκτίμηση αυτή του Γενικού Δικαστηρίου δεν λαμβάνει υπόψη την ιδιαίτερη φύση της προσωπικής γνώμης ή απόψεως η οποία, ως έκφραση της σκέψης ενός προσώπου, συνδέεται κατ’ ανάγκην στενά με το πρόσωπο αυτό.
59 Η ερμηνεία που γίνεται δεκτή με την προηγούμενη σκέψη επιρρωννύεται από τη νομολογία που απορρέει από την απόφαση της 20ής Δεκεμβρίου 2017, Nowak (C‑434/16, EU:C:2017:994), η οποία αφορούσε, μεταξύ άλλων, τις διορθώσεις εξεταστή σχετικά με τις γραπτές απαντήσεις υποψηφίου σε επαγγελματικές εξετάσεις. Συγκεκριμένα, στις σκέψεις 42 έως 44 της αποφάσεως αυτής το Δικαστήριο, μολονότι εκτίμησε το περιεχόμενο, τον σκοπό και το αποτέλεσμα των ως άνω διορθώσεων προκειμένου να διαπιστώσει ότι αποτελούν πληροφορίες που αφορούν τον αναφερόμενο σε αυτές υποψήφιο, έκρινε, κατ’ ουσίαν, ότι οι εν λόγω διορθώσεις αφορούν επίσης τον εξεταστή που τις συνέταξε, εφόσον εκφράζουν τη γνώμη του ή την εκτίμησή του.
60 Επομένως, το Γενικό Δικαστήριο υπέπεσε σε πλάνη περί το δίκαιο κρίνοντας, στις σκέψεις 73 και 74 της αναιρεσιβαλλομένης αποφάσεως, ότι ο ΕΕΠΔ, για να καταλήξει στο συμπέρασμα ότι οι πληροφορίες που προκύπτουν από τις διαβιβασθείσες στην Deloitte παρατηρήσεις «αφορούν», κατά την έννοια του άρθρου 3, σημείο 1, του κανονισμού 2018/1725, τα πρόσωπα που υπέβαλαν τις παρατηρήσεις αυτές, όφειλε να εξετάσει το περιεχόμενο, τον σκοπό ή τα αποτελέσματα των εν λόγω παρατηρήσεων, δεδομένου ότι δεν αμφισβητείται ότι οι παρατηρήσεις αυτές εξέφραζαν την προσωπική γνώμη ή άποψη των συντακτών τους.
61 Ως εκ τούτου, χωρίς να είναι αναγκαίο να εξεταστούν τα επιχειρήματα που συνοψίζονται στις σκέψεις 46 και 47 της παρούσας αποφάσεως, το πρώτο σκέλος του πρώτου λόγου αναιρέσεως πρέπει να γίνει δεκτό.
2. Επί του δευτέρου σκέλους του πρώτου λόγου αναιρέσεως, με το οποίο προβάλλεται εσφαλμένη ερμηνεία της προϋπόθεσης του άρθρου 3, σημείο 1, του κανονισμού 2018/1725, κατά την οποία η πληροφορία πρέπει να αφορά «ταυτοποιήσιμο» φυσικό πρόσωπο
62 Με το δεύτερο σκέλος του πρώτου λόγου αναιρέσεως, ο ΕΕΠΔ προβάλλει ότι, στις σκέψεις 76 έως 106 της αναιρεσιβαλλομένης αποφάσεως, το Γενικό Δικαστήριο κακώς έκρινε ότι δεν μπορούσε να θεωρήσει τις πληροφορίες που προκύπτουν από τις διαβιβασθείσες στην Deloitte παρατηρήσεις ως αφορώσες «ταυτοποιήσιμο» φυσικό πρόσωπο, κατά την έννοια του άρθρου 3, σημείο 1, του κανονισμού 2018/1725. Το σκέλος αυτό αποτελείται από δύο χωριστές αιτιάσεις.
α) Επί τις πρώτης αιτίασης του δευτέρου σκέλους του πρώτου λόγου αναιρέσεως
1) Επιχειρήματα των διαδίκων
63 Κατ’ αρχάς, ο ΕΕΠΔ υπενθυμίζει ότι, σύμφωνα με το άρθρο 3, σημείο 1, του κανονισμού 2018/1725, ο υπεύθυνος επεξεργασίας ή ο «τρίτος» πρέπει να είναι σε θέση να ταυτοποιήσει το υποκείμενο των δεδομένων το οποίο αφορά η επίμαχη πληροφορία. Εάν δεν υπάρχει ένδειξη ως προς το πρόσωπο το οποίο πρέπει να είναι σε θέση να προβεί στην ταυτοποίηση αυτή, αρκεί να μπορεί να εξακριβωθεί η ταυτότητα του υποκειμένου των δεδομένων. Εν προκειμένω, πάντως, δεν αμφισβητείται ότι οι παρατηρήσεις που διαβιβάστηκαν στην Deloitte, τις οποίες είχε στη διάθεσή του το ΕΣΕ, συνιστούν δεδομένα προσωπικού χαρακτήρα. Επιπλέον, από το άρθρο 3, σημείο 6, του ως άνω κανονισμού, σε συνδυασμό με την αιτιολογική του σκέψη 16, προκύπτει ότι τα ψευδωνυμοποιημένα δεδομένα συνιστούν δεδομένα προσωπικού χαρακτήρα, τούτο δε απλώς και μόνον λόγω της ύπαρξης συμπληρωματικών πληροφοριών οι οποίες καθιστούν δυνατή τη συσχέτιση με συγκεκριμένο πρόσωπο.
64 Κατά τον ΕΕΠΔ, οι εκτιμήσεις που περιλαμβάνονται στις σκέψεις 90 και 91 της αναιρεσιβαλλομένης αποφάσεως δεν λαμβάνουν επαρκώς υπόψη το γράμμα των ανωτέρω διατάξεων και τη διάκριση μεταξύ ανωνυμοποίησης και ψευδωνυμοποίησης. Συναφώς, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων διευκρινίζει ότι, σύμφωνα με την ερμηνεία του Γενικού Δικαστηρίου, η φύση των δεδομένων προσωπικού χαρακτήρα μεταβάλλεται όταν αυτά διαβιβάζονται σε εξωτερική οντότητα σε σχέση προς τον υπεύθυνο επεξεργασίας, η οποία δεν διαθέτει συμπληρωματικές πληροφορίες που να καθιστούν δυνατή την ταυτοποίηση του υποκειμένου των δεδομένων. Η ερμηνεία αυτή θα παρείχε στον εν λόγω υπεύθυνο τη δυνατότητα να εξαιρέσει αδικαιολόγητα τα δεδομένα προσωπικού χαρακτήρα από το πεδίο εφαρμογής του δικαίου της Ένωσης περί προστασίας τέτοιων δεδομένων, τούτο δε ακόμη και όταν η επεξεργασία από την εξωτερική οντότητα θα εξέθετε τα υποκείμενα των δεδομένων σε σημαντικούς κινδύνους.
65 Εν συνεχεία, ο ΕΕΠΔ επισημαίνει ότι, με την εισαγωγή της έννοιας της ψευδωνυμοποίησης, ο νομοθέτης της Ένωσης διευκρίνισε ότι, για να εξαιρεθούν τα δεδομένα προσωπικού χαρακτήρα από το πεδίο εφαρμογής του δικαίου της Ένωσης περί προστασίας τέτοιων δεδομένων, δεν αρκεί ο διαχωρισμός των δεδομένων αυτών από τις συμπληρωματικές πληροφορίες που καθιστούν δυνατή την ταυτοποίηση του υποκειμένου των δεδομένων.
66 Τέλος, ο ΕΕΠΔ υπενθυμίζει ότι η έννοια των δεδομένων προσωπικού χαρακτήρα πρέπει να ερμηνεύεται με ευρύτητα, όπερ, κατά την άποψή του, είναι αναγκαίο προκειμένου το δίκαιο περί προστασίας των δεδομένων να έχει πρακτική αποτελεσματικότητα. Στο μέτρο που η ερμηνεία του Γενικού Δικαστηρίου επιτρέπει τα ψευδωνυμοποιημένα δεδομένα να θεωρούνται εσφαλμένως ανώνυμα δεδομένα, θα μπορούσε να υπονομεύσει το υψηλό επίπεδο προστασίας που επιδιώκεται από τον νομοθέτη της Ένωσης και απαιτείται από τον Χάρτη. Κατά το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, η ερμηνεία που προέκρινε το Γενικό Δικαστήριο ενέχει επίσης τον κίνδυνο τα ψευδωνυμοποιημένα δεδομένα να μπορούν να τύχουν επεξεργασίας χωρίς περιορισμό βάσει του ΓΚΠΔ και του κανονισμού 2018/1725, συμπεριλαμβανομένης της κοινής χρήσης, της δημοσίευσης και της διαβίβασής τους σε τρίτες χώρες.
67 Το ΕΣΕ, υποστηριζόμενο από την Επιτροπή, αντικρούει την επιχειρηματολογία αυτή.
2) Εκτίμηση του Δικαστηρίου
68 Η πρώτη αιτίαση του δευτέρου σκέλους του πρώτου λόγου ακυρώσεως στηρίζεται, κατ’ ουσίαν, στην εκτίμηση ότι ψευδωνυμοποιημένα δεδομένα όπως οι παρατηρήσεις που διαβιβάστηκαν στην Deloitte συνιστούν, σε κάθε περίπτωση, δεδομένα προσωπικού χαρακτήρα απλώς και μόνον λόγω της ύπαρξης πληροφοριών που καθιστούν δυνατή την ταυτοποίηση του υποκειμένου των δεδομένων, χωρίς να απαιτείται να εξεταστεί συγκεκριμένα αν, παρά την ψευδωνυμοποίηση, είναι ταυτοποιήσιμο το πρόσωπο το οποίο αφορούν τα εν λόγω δεδομένα.
69 Συναφώς, υπενθυμίζεται ότι, ήδη κατά το γράμμα του άρθρου 3, σημείο 1, του κανονισμού 2018/1725, μια πληροφορία, για να χαρακτηρισθεί ως δεδομένο προσωπικού χαρακτήρα, κατά την έννοια της διατάξεως αυτής, πρέπει να αφορά «ταυτοποιημένο ή ταυτοποιήσιμο» φυσικό πρόσωπο. Επομένως, προϋπόθεση για την εφαρμογή του κανονισμού αυτού είναι, κατ’ αρχήν, να εξεταστεί κατά πόσον το υποκείμενο των δεδομένων, το οποίο αφορά η επίμαχη πληροφορία, είναι ταυτοποιημένο ή ταυτοποιήσιμο.
70 Η ερμηνεία αυτή επιρρωννύεται από την πέμπτη και την έκτη περίοδο της αιτιολογικής σκέψης 16 του κανονισμού 2018/1725, κατά τις οποίες δεν εμπίπτουν στον ορισμό των «δεδομένων προσωπικού χαρακτήρα» οι «ανώνυμες πληροφορίες, δηλαδή πληροφορίες που δεν σχετίζονται προς ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο», ούτε τα «δεδομένα προσωπικού χαρακτήρα που έχουν καταστεί ανώνυμα κατά τρόπο ώστε η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί» (βλ., κατ’ αναλογίαν, απόφαση της 5ης Δεκεμβρίου 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, σκέψη 57).
71 Όσον αφορά, ειδικότερα, τα ψευδωνυμοποιημένα δεδομένα, επισημαίνεται, κατά πρώτον, ότι τα δεδομένα αυτά δεν μνημονεύονται μεν στον νομικό ορισμό της έννοιας των «δεδομένων προσωπικού χαρακτήρα», στο άρθρο 3, σημείο 1, του κανονισμού 2018/1725, πλην όμως τα χαρακτηριστικά τους προκύπτουν από το άρθρο 3, σημείο 6, του κανονισμού αυτού. Η τελευταία αυτή διάταξη ορίζει την έννοια της «ψευδωνυμοποίησης» ως «επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλιστεί ότι δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο».
72 Όπως επισήμανε, κατ’ ουσίαν, ο γενικός εισαγγελέας στα σημεία 46 και 48 των προτάσεών του, η ψευδωνυμοποίηση δεν αποτελεί, επομένως, στοιχείο του ορισμού των «δεδομένων προσωπικού χαρακτήρα», αλλά αναφέρεται στη θέσπιση τεχνικών και οργανωτικών μέτρων με σκοπό τη μείωση του κινδύνου συσχέτισης ενός συνόλου δεδομένων με την ταυτότητα των υποκειμένων των δεδομένων. Κατά την αιτιολογική σκέψη 17 του εν λόγω κανονισμού, η ψευδωνυμοποίηση «μπορεί [απλώς] να μειώσει τους κινδύνους» μιας τέτοιας συσχέτισης για τα πρόσωπα αυτά και, ως εκ τούτου, «να διευκολύνει τους υπεύθυνους επεξεργασίας και τους εκτελούντες την επεξεργασία να τηρήσουν τις οικείες υποχρεώσεις περί προστασίας των δεδομένων».
73 Κατά δεύτερον, από το γράμμα του άρθρου 3, σημείο 6, του κανονισμού 2018/1725 προκύπτει ότι η έννοια της «ψευδωνυμοποίησης» προϋποθέτει την ύπαρξη πληροφοριών που καθιστούν δυνατή την ταυτοποίηση του υποκειμένου των δεδομένων. Η δε ύπαρξη και μόνον τέτοιων πληροφοριών δεν επιτρέπει δεδομένα που έχουν υποστεί ψευδωνυμοποίηση να μπορούν να θεωρούνται, σε κάθε περίπτωση, ανώνυμα δεδομένα, εξαιρούμενα από το πεδίο εφαρμογής του κανονισμού αυτού.
74 Γεγονός παραμένει, κατά τρίτον, ότι η απαίτηση περί χωριστής διατήρησης των πληροφοριών ταυτοποίησης και περί λήψης τεχνικών και οργανωτικών μέτρων «προκειμένου να διασφαλιστεί ότι τα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο», η οποία προβλέπεται στο άρθρο 3, σημείο 6, του εν λόγω κανονισμού, υποδηλώνει ότι η ψευδωνυμοποίηση αποσκοπεί, μεταξύ άλλων, να αποτρέψει τη δυνατότητα ταυτοποίησης του υποκειμένου των δεδομένων επί τη βάσει και μόνον ψευδωνυμοποιημένων δεδομένων.
75 Πράγματι, εφόσον τα εν λόγω τεχνικά και οργανωτικά μέτρα εφαρμόζονται αποτελεσματικά και είναι ικανά να αποτρέψουν τη συσχέτιση των επίμαχων δεδομένων με το υποκείμενο των δεδομένων, κατά τρόπο ώστε η ταυτότητά του να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί, η ψευδωνυμοποίηση ενδέχεται να είναι κρίσιμη για τον προσωπικό χαρακτήρα των ως άνω δεδομένων κατά την έννοια του άρθρου 3, σημείο 1, του κανονισμού 2018/1725.
76 Συναφώς, διευκρινίζεται ότι, όπως συνήθως συμβαίνει στην περίπτωση υπευθύνου επεξεργασίας που προέβη σε ψευδωνυμοποίηση, το ΕΣΕ διαθέτει, εν προκειμένω, συμπληρωματικές πληροφορίες βάσει των οποίων οι παρατηρήσεις που διαβιβάστηκαν στην Deloitte μπορούν να αποδοθούν στο υποκείμενο των δεδομένων, οπότε, για το ίδιο, οι παρατηρήσεις αυτές, παρά την ψευδωνυμοποίηση, διατηρούν τον προσωπικό τους χαρακτήρα.
77 Όσον αφορά την Deloitte προς την οποία το ΕΣΕ διαβίβασε ψευδωνυμοποιημένες παρατηρήσεις, τα αναφερόμενα στο άρθρο 3, σημείο 6, του κανονισμού 2018/1725 τεχνικά και οργανωτικά μέτρα μπορούν, όπως υποστηρίζει κατ’ ουσίαν το ΕΣΕ, να έχουν ως αποτέλεσμα ότι για τη συγκεκριμένη εταιρία οι ως άνω παρατηρήσεις δεν έχουν προσωπικό χαρακτήρα. Ωστόσο, τούτο προϋποθέτει, αφενός, ότι η Deloitte δεν είναι σε θέση να άρει τα μέτρα αυτά στο πλαίσιο οποιασδήποτε επεξεργασίας των παρατηρήσεων που πραγματοποιείται υπό τον έλεγχό της. Αφετέρου, τα εν λόγω μέτρα πρέπει πράγματι να είναι ικανά να μην επιτρέψουν στην Deloitte να συσχετίσει τις ίδιες παρατηρήσεις με το υποκείμενο των δεδομένων ούτε με τη χρήση άλλων μέσων ταυτοποίησης, όπως η διασταύρωση με άλλα στοιχεία, ούτως ώστε, για την εταιρία αυτή, η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί.
78 Η ως άνω ερμηνεία επιρρωννύεται από την αιτιολογική σκέψη 16 του κανονισμού 2018/1725, η οποία, αφού αναφέρει στην πρώτη περίοδο ότι «[ο]ι αρχές της προστασίας των δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο», στη δεύτερη περίοδο προβλέπει ότι «[τ]α δεδομένα προσωπικού χαρακτήρα που έχουν υποστεί ψευδωνυμοποίηση και τα οποία θα μπορούσαν να συσχετισθούν με φυσικό πρόσωπο με τη χρήση συμπληρωματικών πληροφοριών θα πρέπει να θεωρούνται πληροφορίες σχετικά με ταυτοποιήσιμο φυσικό πρόσωπο».
79 Πράγματι, εν συνεχεία των ανωτέρω επισημάνσεων σχετικά με τα δεδομένα προσωπικού χαρακτήρα και τα ψευδωνυμοποιημένα δεδομένα, στην τρίτη περίοδο της εν λόγω αιτιολογικής σκέψης διευκρινίζεται ότι, για να κριθεί κατά πόσον ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη «όλα τα μέσα τα οποία είναι ευλόγως πιθανό» ότι θα χρησιμοποιηθούν από τον υπεύθυνο επεξεργασίας ή «από τρίτο» για την «άμεση ή έμμεση» εξακρίβωση της ταυτότητας του φυσικού προσώπου. Επιπλέον, στην τέταρτη περίοδο της ίδιας αιτιολογικής σκέψης αναφέρεται ότι, για να διαπιστωθεί κατά πόσον κάποια μέσα είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν για την εξακρίβωση της ταυτότητας του φυσικού προσώπου, θα πρέπει να λαμβάνονται υπόψη «όλοι οι αντικειμενικοί παράγοντες, όπως τα έξοδα και ο χρόνος που απαιτούνται για την ταυτοποίηση, λαμβανομένων υπόψη της τεχνολογίας που είναι διαθέσιμη κατά τον χρόνο της επεξεργασίας και των εξελίξεων της τεχνολογίας».
80 Πλην όμως, όπως επισήμανε, κατ’ ουσίαν, ο γενικός εισαγγελέας στο σημείο 51 των προτάσεών του, οι διευκρινίσεις αυτές σχετικά με την αξιολόγηση του κατά πόσον το υποκείμενο των δεδομένων είναι ταυτοποιήσιμο ή όχι θα στερούνταν πρακτικής αποτελεσματικότητας αν τα ψευδωνυμοποιημένα δεδομένα έπρεπε να θεωρούνται ότι συνιστούν, σε κάθε περίπτωση και για κάθε πρόσωπο, δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της εφαρμογής του κανονισμού 2018/1725.
81 Συναφώς, υπενθυμίζεται ότι, επί ανακοινωθέντος Τύπου το οποίο περιείχε ορισμένες ενδείξεις σχετικά με ένα πρόσωπο χωρίς να το κατονομάζει, το Δικαστήριο δεν περιορίστηκε, με την απόφαση της 7ης Μαρτίου 2024, OC κατά Επιτροπής (C‑479/22 P, EU:C:2024:215, σκέψεις 52 έως 64), στη διαπίστωση ότι ο οργανισμός της Ένωσης που δημοσίευσε το ανακοινωθέν αυτό διέθετε όλες τις πληροφορίες που καθιστούσαν δυνατή την ταυτοποίηση του συγκεκριμένου προσώπου, αλλά εξέτασε αν οι ενδείξεις που περιλαμβάνονταν στο εν λόγω ανακοινωθέν καθιστούσαν ευλόγως δυνατή στο ενδιαφερόμενο κοινό την εξακρίβωση της ταυτότητας του ως άνω προσώπου, ιδίως μέσω συνδυασμού των ενδείξεων αυτών με πληροφορίες διαθέσιμες στο διαδίκτυο.
82 Επιπλέον, το Δικαστήριο έχει κρίνει ότι ένα μέσο δεν μπορεί ευλόγως να χρησιμοποιηθεί για την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων όταν ο κίνδυνος εξακρίβωσης της ταυτότητας φαίνεται στην πραγματικότητα αμελητέος, διότι η εξακρίβωση της ταυτότητας του προσώπου αυτού απαγορεύεται από τον νόμο ή είναι ανέφικτη στην πράξη, παραδείγματος χάρη λόγω του ότι απαιτεί δυσανάλογη προσπάθεια από άποψη χρόνου καθώς και οικονομικών και ανθρώπινων πόρων (πρβλ. απόφαση της 7ης Μαρτίου 2024, OC κατά Επιτροπής, C‑479/22 P, EU:C:2024:215, σκέψη 51 και εκεί μνημονευόμενη νομολογία). Η νομολογία αυτή επιρρωννύει την ερμηνεία κατά την οποία η ύπαρξη συμπληρωματικών πληροφοριών που καθιστούν δυνατή την ταυτοποίηση του υποκειμένου των δεδομένων δεν συνεπάγεται, αφ’ εαυτής, ότι τα ψευδωνυμοποιημένα δεδομένα πρέπει να θεωρούνται, σε κάθε περίπτωση και για κάθε πρόσωπο, δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της εφαρμογής του κανονισμού 2018/1725.
83 Στο ίδιο πνεύμα, το Δικαστήριο έκρινε κατ’ ουσίαν, μεταξύ άλλων, με τις αποφάσεις της 19ης Οκτωβρίου 2016, Breyer (C‑582/14, EU:C:2016:779, σκέψεις 44, 47 και 48), και της 7ης Μαρτίου 2024, IAB Europe (C‑604/22, EU:C:2024:214, σκέψεις 43 και 48), ότι δεδομένα, αφ’ εαυτών, μη προσωπικού χαρακτήρα τα οποία συλλέγονται και διατηρούνται από τον υπεύθυνο επεξεργασίας αφορούν εντούτοις ταυτοποιήσιμο πρόσωπο, εφόσον ο υπεύθυνος επεξεργασίας έχει στη διάθεσή του νόμιμες διαδικασίες για να λάβει από τρίτους συμπληρωματικές πληροφορίες οι οποίες καθιστούν δυνατή την εξακρίβωση της ταυτότητας του προσώπου αυτού. Πράγματι, υπό τέτοιες συνθήκες, το γεγονός ότι οι πληροφορίες που καθιστούν δυνατή την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων βρίσκονται στη διάθεση διαφορετικών προσώπων δεν είναι ικανό να αποτρέψει αποτελεσματικά την ταυτοποίησή του κατά τρόπο ώστε, για τον υπεύθυνο επεξεργασίας, το υποκείμενο των δεδομένων να μην είναι ταυτοποιήσιμο.
84 Προπαντός, κατά τη νομολογία που απορρέει από την απόφαση της 9ης Νοεμβρίου 2023, Gesamtverband Autoteile-Handel (Πρόσβαση σε πληροφορίες που αφορούν τα οχήματα) (C‑319/22, EU:C:2023:837, σκέψεις 46 και 49), δεδομένα τα οποία αφ’ εαυτών δεν είναι προσωπικού χαρακτήρα μπορούν να αποκτήσουν «προσωπικό» χαρακτήρα, όταν ο υπεύθυνος επεξεργασίας τα καθιστά διαθέσιμα σε άλλα πρόσωπα τα οποία διαθέτουν μέσα που είναι ευλόγως πιθανό να καταστήσουν δυνατή την ταυτοποίηση του υποκειμένου των δεδομένων. Ειδικότερα, από την τελευταία αυτή απόφαση προκύπτει ότι –στο πλαίσιο μιας τέτοιας διάθεσης– τα εν λόγω δεδομένα έχουν προσωπικό χαρακτήρα τόσο για τα υποκείμενα των δεδομένων όσο και, εμμέσως, για τον υπεύθυνο επεξεργασίας.
85 Κατά συνέπεια, λαμβανομένης υπόψη της νομολογίας που υπομνήσθηκε στην προηγούμενη σκέψη, εσφαλμένως υποστηρίζει ο ΕΕΠΔ ότι το γεγονός ότι τα ψευδωνυμοποιημένα δεδομένα δεν έχουν, ενδεχομένως, προσωπικό χαρακτήρα για τα πρόσωπα στα οποία τα διαβιβάζει ο υπεύθυνος επεξεργασίας καθιστά δυνατή την αδικαιολόγητη εξαίρεση των δεδομένων αυτών από το πεδίο εφαρμογής του δικαίου της Ένωσης περί προστασίας των δεδομένων προσωπικού χαρακτήρα. Πράγματι, κατά την ως άνω νομολογία, το γεγονός αυτό δεν ασκεί επιρροή στην εκτίμηση του προσωπικού χαρακτήρα των ίδιων ως άνω δεδομένων στο πλαίσιο, μεταξύ άλλων, ενδεχόμενης περαιτέρω διαβίβασής τους σε τρίτους. Επομένως, στο μέτρο που δεν αποκλείεται οι εν λόγω τρίτοι να είναι ευλόγως σε θέση να συσχετίσουν, με τη χρήση μέσων όπως η διασταύρωση με άλλα δεδομένα που διαθέτουν, τα ψευδωνυμοποιημένα δεδομένα με το υποκείμενο των δεδομένων, το τελευταίο πρέπει να θεωρηθεί ταυτοποιήσιμο όσον αφορά τόσο τη διαβίβαση όσο και κάθε περαιτέρω επεξεργασία των δεδομένων αυτών από τους εν λόγω τρίτους. Υπό τις συνθήκες αυτές, τα ψευδωνυμοποιημένα δεδομένα θα πρέπει να θεωρούνται προσωπικού χαρακτήρα.
86 Συνακόλουθα, αντιθέτως προς όσα υποστηρίζει ο ΕΕΠΔ, δεν πρέπει να θεωρείται ότι τα ψευδωνυμοποιημένα δεδομένα συνιστούν, σε κάθε περίπτωση και για κάθε πρόσωπο, δεδομένα προσωπικού χαρακτήρα για τους σκοπούς της εφαρμογής του κανονισμού 2018/1725, στον βαθμό που η ψευδωνυμοποίηση μπορεί, αναλόγως των περιστάσεων της συγκεκριμένης υπόθεσης, να αποτρέψει αποτελεσματικά την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων από άλλα πρόσωπα πλην του υπευθύνου επεξεργασίας, κατά τρόπο ώστε, για τα πρόσωπα αυτά, η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί.
87 Η ερμηνεία αυτή δεν αναιρείται από το γεγονός που επικαλείται ο ΕΕΠΔ ότι η τέταρτη περίοδος της αιτιολογικής σκέψης 16 του κανονισμού 2018/1725 αναφέρει τον υπεύθυνο επεξεργασίας ή «τρίτο». Πράγματι, από τη διατύπωση της περιόδου αυτής, η οποία υπομνήσθηκε στη σκέψη 79 της παρούσας αποφάσεως, προκύπτει ότι αναφέρεται μόνο στα πρόσωπα που διαθέτουν ή μπορούν να έχουν πρόσβαση στα μέσα τα οποία είναι ευλόγως πιθανό να χρησιμοποιηθούν για την ταυτοποίηση του υποκειμένου των δεδομένων. Πλην όμως, όπως επισημάνθηκε στις σκέψεις 75 έως 77 της παρούσας αποφάσεως, η ψευδωνυμοποίηση μπορεί, αναλόγως των περιστάσεων της συγκεκριμένης υπόθεσης, να αποτρέψει αποτελεσματικά την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων από άλλα πρόσωπα πλην του υπευθύνου επεξεργασίας κατά τρόπο ώστε, για τα πρόσωπα αυτά, η ταυτότητα του υποκειμένου των δεδομένων να μην μπορεί ή να μην μπορεί πλέον να εξακριβωθεί.
88 Όσον αφορά το επιχείρημα του ΕΕΠΔ, με το οποίο προβάλλεται ο σκοπός της διασφάλισης υψηλού επιπέδου προστασίας των δεδομένων προσωπικού χαρακτήρα, μολονότι το γράμμα του άρθρου 3, σημείο 1, του κανονισμού 2018/1725 αντικατοπτρίζει τον σκοπό του νομοθέτη της Ένωσης να ορίσει με ευρύτητα την έννοια των «δεδομένων προσωπικού χαρακτήρα», η έννοια αυτή είναι ωστόσο οριοθετημένη, δεδομένου ότι η ως άνω διάταξη απαιτεί, μεταξύ άλλων, το υποκείμενο των δεδομένων να είναι ταυτοποιημένο ή ταυτοποιήσιμο.
89 Ειδικότερα, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 58 των προτάσεών του, ο κανονισμός 2018/1725 περιλαμβάνει υποχρεώσεις, όπως η προβλεπόμενη στο άρθρο 15 του κανονισμού υποχρέωση παροχής πληροφοριών στο υποκείμενο των δεδομένων, υποχρεώσεις των οποίων η τήρηση προϋποθέτει την ταυτοποίηση του υποκειμένου των δεδομένων. Τέτοιες υποχρεώσεις δεν μπορούν να επιβληθούν σε οντότητα η οποία αδυνατεί να προβεί στην ταυτοποίηση αυτή.
90 Ως εκ τούτου, η πρώτη αιτίαση του δευτέρου σκέλους του πρώτου λόγου αναιρέσεως πρέπει να απορριφθεί ως αβάσιμη.
β) Επί της δεύτερης αιτίασης του δευτέρου σκέλους του πρώτου λόγου αναιρέσεως
1) Επιχειρήματα των διαδίκων
91 Με τη δεύτερη αιτίαση του δευτέρου σκέλους του πρώτου λόγου αναιρέσεως, ο ΕΕΠΔ προβάλλει ότι το Γενικό Δικαστήριο δεν έλαβε υπόψη τη νομολογία που απορρέει από την απόφαση της 19ης Οκτωβρίου 2016, Breyer (C‑582/14, EU:C:2016:779).
92 Κατά πρώτον, το Γενικό Δικαστήριο δεν έλαβε υπόψη τον αντικειμενικό χαρακτήρα της προϋπόθεσης περί «ταυτοποιήσιμου» υποκειμένου των δεδομένων, κρίνοντας στις σκέψεις 97, 99 και 100 της αναιρεσιβαλλομένης αποφάσεως, μεταξύ άλλων, ότι ο ΕΕΠΔ όφειλε να εξετάσει αν οι διαβιβασθείσες στην Deloitte παρατηρήσεις συνιστούσαν, από τη σκοπιά της Deloitte, δεδομένα προσωπικού χαρακτήρα. Πράγματι, κατά τον ΕΕΠΔ, από τις σκέψεις 47 και 48 της αποφάσεως της 19ης Οκτωβρίου 2016, Breyer (C‑582/14, EU:C:2016:779), προκύπτει ότι η ύπαρξη και μόνον νόμιμων διαδικασιών που παρέχουν τη δυνατότητα ταυτοποίησης του υποκειμένου των δεδομένων αρκεί για να συναχθεί το συμπέρασμα ότι το πρόσωπο αυτό είναι ταυτοποιήσιμο. Εν προκειμένω, όμως, το ΕΣΕ ήταν σε θέση να εξακριβώσει την ταυτότητα των υποκειμένων των δεδομένων, περίσταση την οποία το Γενικό Δικαστήριο δεν έλαβε επαρκώς υπόψη στο πλαίσιο της εφαρμογής της νομολογίας που απορρέει από την απόφαση αυτή.
93 Κατά δεύτερον, ο ΕΕΠΔ υποστηρίζει ότι στην ως άνω απόφαση το ζήτημα αν το υποκείμενο των δεδομένων ήταν ή όχι ταυτοποιήσιμο εκτιμήθηκε από τη σκοπιά του υπευθύνου επεξεργασίας, τούτο δε χωρίς να υφίσταται οποιαδήποτε σχέση μεταξύ του υπευθύνου αυτού και των φορέων που κατείχαν τις συμπληρωματικές πληροφορίες οι οποίες καθιστούσαν δυνατή την ταυτοποίηση του υποκειμένου των δεδομένων. Αντιθέτως, εν προκειμένω, η Deloitte δεν είναι υπεύθυνος επεξεργασίας και, επιπλέον, δεσμεύεται συμβατικώς έναντι του ΕΣΕ. Λαμβανομένων υπόψη των διαφορών αυτών, ο ΕΕΠΔ θεωρεί ότι δεν όφειλε να προβεί σε πλήρη αξιολόγηση των μέσων τα οποία είναι ευλόγως πιθανό ότι θα παρείχαν στην Deloitte τη δυνατότητα να εξακριβώσει την ταυτότητα των υποκειμένων των δεδομένων.
94 Εν πάση περιπτώσει, ο ΕΕΠΔ υποστηρίζει ότι, ακόμη και αν ήταν υποχρεωμένος, παρά ταύτα, να εκτιμήσει κατά πόσον η Deloitte ήταν σε θέση να ταυτοποιήσει τους συντάκτες των παρατηρήσεων που της διαβιβάστηκαν, τίποτε δεν εμπόδιζε την Deloitte να προβεί στην ταυτοποίηση αυτή.
95 Το ΕΣΕ, υποστηριζόμενο από την Επιτροπή, αντικρούει τα ανωτέρω επιχειρήματα.
96 Κατά πρώτον, στις σκέψεις 96, 97 και 100 της αναιρεσιβαλλομένης αποφάσεως, μεταξύ άλλων, το Γενικό Δικαστήριο ορθώς στηρίχθηκε στην προσέγγιση κατά την οποία η δυνατότητα ταυτοποίησης του υποκειμένου των δεδομένων πρέπει να εξετάζεται σε σχέση με κάθε πρόσωπο και κάθε υπεύθυνο της συγκεκριμένης επεξεργασίας, ο οποίος προβαίνει στην επεξεργασία των σχετικών πληροφοριών. Πλην όμως, στο πλαίσιο της υποχρέωσης ενημέρωσης που προβλέπεται στο άρθρο 15, παράγραφος 1, στοιχείο δʹ, του κανονισμού 2018/1725, η εξέταση αυτή θα πρέπει να διενεργείται από τη σκοπιά του αποδέκτη των επίμαχων πληροφοριών.
97 Κατά δεύτερον, το ΕΣΕ υποστηρίζει ότι η επιχειρηματολογία που αντλείται από τις προβαλλόμενες διαφορές μεταξύ της υπό κρίση υπόθεσης και εκείνης επί της οποίας εκδόθηκε η απόφαση της 19ης Οκτωβρίου 2016, Breyer (C‑582/14, EU:C:2016:779), είναι απαράδεκτη. Θεωρεί ότι η επιχειρηματολογία αυτή βάλλει κατά των πραγματικών διαπιστώσεων του Γενικού Δικαστηρίου –στις σκέψεις 94 και 95 της αναιρεσιβαλλομένης αποφάσεως– κατά τις οποίες η Deloitte δεν είχε πρόσβαση στις πληροφορίες ταυτοποίησης που απαιτούνται για την εξακρίβωση της ταυτότητας των καταγγελλόντων.
2) Εκτίμηση του Δικαστηρίου
98 Στις σκέψεις 97 έως 100 της αναιρεσιβαλλομένης αποφάσεως, μεταξύ άλλων, το Γενικό Δικαστήριο έκρινε κατ’ ουσίαν ότι, σύμφωνα με τη νομολογία που απορρέει από την απόφαση της 19ης Οκτωβρίου 2016, Breyer (C‑582/14, EU:C:2016:779), ο ΕΕΠΔ όφειλε να εξετάσει αν οι παρατηρήσεις που διαβιβάστηκαν στην Deloitte συνιστούσαν, από τη σκοπιά της, δεδομένα προσωπικού χαρακτήρα. Για να καταλήξει στη διαπίστωση αυτή, το Γενικό Δικαστήριο, μεταξύ άλλων, επισήμανε ότι η παράβαση του άρθρου 15, παράγραφος 1, στοιχείο δʹ, του κανονισμού 2018/1725, η οποία διαπιστώθηκε στην επίδικη απόφαση, αφορούσε την εκ μέρους του ΕΣΕ διαβίβαση ορισμένων παρατηρήσεων στην Deloitte και όχι την κατοχή απλώς των παρατηρήσεων αυτών από το ΕΣΕ.
99 Προκαταρκτικώς, υπενθυμίζεται ότι το άρθρο 3, σημείο 1, του κανονισμού 2018/1725 δεν διευκρινίζει ρητώς ποια είναι η κρίσιμη οπτική γωνία για την εκτίμηση της δυνατότητας ταυτοποίησης του υποκειμένου των δεδομένων, η δε αιτιολογική σκέψη 16 του κανονισμού αναφέρει, αδιακρίτως, τον «υπεύθυνο επεξεργασίας» ή «τρίτο». Επιπλέον, κατά πάγια νομολογία, για να χαρακτηρισθεί ένα στοιχείο ως «δεδομένο προσωπικού χαρακτήρα» δεν απαιτείται όλες οι πληροφορίες που καθιστούν δυνατή την εξακρίβωση της ταυτότητας του υποκειμένου των δεδομένων να βρίσκονται στη διάθεση ενός μόνον προσώπου (πρβλ. αποφάσεις της 19ης Οκτωβρίου 2016, Breyer, C‑582/14, EU:C:2016:779, σκέψη 43, και της 7ης Μαρτίου 2024, OC κατά Επιτροπής, C‑479/22 P, EU:C:2024:215, σκέψη 48).
100 Κατά τη νομολογία που απορρέει ιδίως από την απόφαση της 19ης Οκτωβρίου 2016, Breyer (C‑582/14, EU:C:2016:779), η οποία υπομνήσθηκε στις σκέψεις 81 έως 84 της παρούσας αποφάσεως, η κρίσιμη οπτική γωνία για την εκτίμηση της δυνατότητας ταυτοποίησης του υποκειμένου των δεδομένων εξαρτάται κατ’ ουσίαν από τις περιστάσεις που χαρακτηρίζουν την επεξεργασία των δεδομένων σε κάθε συγκεκριμένη περίπτωση.
101 Εν προκειμένω, υπενθυμίζεται ότι, στην επίδικη απόφαση, ο ΕΕΠΔ διαπίστωσε ότι το ΕΣΕ, παραλείποντας να μνημονεύσει την Deloitte ως δυνητικό αποδέκτη των παρατηρήσεων στη δήλωση εμπιστευτικότητας που υποβλήθηκε κατά τον χρόνο συλλογής των παρατηρήσεων, παρέβη την υποχρέωση ενημέρωσης που υπέχει από το άρθρο 15, παράγραφος 1, στοιχείο δʹ, του κανονισμού 2018/1725.
102 Το άρθρο 15, παράγραφος 1, του ως άνω κανονισμού ορίζει τις πληροφορίες που πρέπει να παρέχει ο υπεύθυνος επεξεργασίας στο υποκείμενο των δεδομένων όταν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από αυτό, ενώ παράλληλα διευκρινίζει ότι οι εν λόγω πληροφορίες πρέπει να παρέχονται στο υποκείμενο των δεδομένων «κατά τη λήψη των δεδομένων προσωπικού χαρακτήρα». Από το ίδιο το γράμμα της διατάξεως προκύπτει ότι οι πληροφορίες αυτές πρέπει να παρέχονται από τον υπεύθυνο επεξεργασίας αμέσως, ήτοι κατά τη συλλογή των εν λόγω δεδομένων (βλ., κατ’ αναλογίαν, απόφαση της 29ης Ιουλίου 2019, Fashion ID, C‑40/17, EU:C:2019:629, σκέψη 104 και εκεί μνημονευόμενη νομολογία).
103 Όσον αφορά, ειδικότερα, την ενημέρωση σχετικά με τους ενδεχόμενους αποδέκτες των δεδομένων προσωπικού χαρακτήρα, την οποία προβλέπει το άρθρο 15, παράγραφος 1, στοιχείο δʹ, του εν λόγω κανονισμού, πρόκειται για πληροφορία που συμπεριλαμβάνεται στις παρεχόμενες κατά τη συλλογή των δεδομένων από το υποκείμενο των δεδομένων.
104 Το άρθρο 14, παράγραφος 1, του κανονισμού 2018/1725 προβλέπει ότι ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα προκειμένου οι πληροφορίες που μνημονεύονται, μεταξύ άλλων, στο άρθρο 15 του κανονισμού να παρέχονται στο υποκείμενο των δεδομένων σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή και να είναι διατυπωμένες με σαφή και απλό τρόπο, ούτως ώστε το πρόσωπο αυτό να είναι σε θέση να κατανοεί πλήρως τις πληροφορίες που του διαβιβάζονται [βλ., κατ’ αναλογίαν, αποφάσεις της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 38, και της 11ης Ιουλίου 2024, Meta Platforms Ireland (Αντιπροσωπευτική αγωγή), C‑757/22, EU:C:2024:598, σκέψεις 55 και 56].
105 Η σημασία της τήρησης της εν λόγω υποχρέωσης ενημέρωσης επιβεβαιώνεται από την αιτιολογική σκέψη 35 του κανονισμού 2018/1725, η οποία αναφέρει, στην πρώτη και τη δεύτερη περίοδο, ότι η αρχή της δίκαιης και διαφανούς επεξεργασίας απαιτεί να ενημερώνεται το υποκείμενο των δεδομένων για την ύπαρξη της πράξης επεξεργασίας και τους σκοπούς της, τονίζεται δε ότι ο υπεύθυνος επεξεργασίας θα πρέπει επίσης να παρέχει κάθε περαιτέρω πληροφορία που είναι αναγκαία για τη διασφάλιση δίκαιης και διαφανούς επεξεργασίας, λαμβάνοντας υπόψη τις ειδικές συνθήκες και το πλαίσιο εντός του οποίου πραγματοποιείται η επεξεργασία των δεδομένων προσωπικού χαρακτήρα, όπως προβλέπεται στο άρθρο 15, παράγραφος 2, του ως άνω κανονισμού [βλ., κατ’ αναλογίαν, απόφαση της 11ης Ιουλίου 2024, Meta Platforms Ireland (Αντιπροσωπευτική αγωγή), C‑757/22, EU:C:2024:598, σκέψη 57 και εκεί μνημονευόμενη νομολογία].
106 Επομένως, όταν η συλλογή τέτοιων δεδομένων από το υποκείμενο των δεδομένων στηρίζεται –όπως, εν προκειμένω, στο πλαίσιο της σχετικής με το δικαίωμα ακρόασης διαδικασίας– στη συγκατάθεση του προσώπου αυτού, η εγκυρότητα της συγκατάθεσης του υποκειμένου των δεδομένων εξαρτάται, μεταξύ άλλων, από το αν το πρόσωπο αυτό έχει προηγουμένως λάβει τις πληροφορίες που δικαιούται να λάβει δυνάμει του άρθρου 15 του κανονισμού 2018/1725 σχετικά με όλες τις περιστάσεις που περιβάλλουν την επεξεργασία των επίμαχων δεδομένων, πληροφορίες οι οποίες του επιτρέπουν να παράσχει συγκατάθεση εν πλήρει γνώσει της κατάστασης [βλ., κατ’ αναλογίαν, απόφαση της 11ης Ιουλίου 2024, Meta Platforms Ireland (Αντιπροσωπευτική αγωγή), C‑757/22, EU:C:2024:598, σκέψη 60].
107 Εξάλλου, όσον αφορά την περίπτωση κατά την οποία το υποκείμενο των δεδομένων έχει υποχρέωση να παράσχει δεδομένα προσωπικού χαρακτήρα στον υπεύθυνο επεξεργασίας, η αιτιολογική σκέψη 35 του ως άνω κανονισμού διευκρινίζει, στην τέταρτη περίοδο, ότι το υποκείμενο των δεδομένων θα πρέπει να ενημερώνεται για το κατά πόσον υποχρεούται να παράσχει τα δεδομένα προσωπικού χαρακτήρα και για τις συνέπειες, όταν δεν παρέχει τα εν λόγω δεδομένα, όπερ επιβεβαιώνει τη σημασία που έχει η απαιτούμενη από το άρθρο 15 του εν λόγω κανονισμού ενημέρωση, ήδη κατά τη συλλογή των δεδομένων από το υποκείμενο των δεδομένων.
108 Υπό τις συνθήκες αυτές, προκύπτει ότι η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων –κατά τη συλλογή των σχετιζόμενων με αυτό δεδομένων προσωπικού χαρακτήρα– σχετικά με τους ενδεχόμενους αποδέκτες των εν λόγω δεδομένων αποσκοπεί, μεταξύ άλλων, να παράσχει στο υποκείμενο των δεδομένων τη δυνατότητα να αποφασίσει, εν πλήρει γνώσει της κατάστασης, αν θα παράσχει ή, αντιθέτως, αν θα αρνηθεί να παράσχει τα δεδομένα προσωπικού χαρακτήρα που το αφορούν και συλλέγονται από αυτό.
109 Επισημαίνεται επίσης ότι, όπως υποστήριξε κατ’ ουσίαν η Επιτροπή κατά την επ’ ακροατηρίου συζήτηση, η ενημέρωση σχετικά με τους ενδεχόμενους αποδέκτες είναι, ασφαλώς, εξίσου απαραίτητη προκειμένου το υποκείμενο των δεδομένων να μπορεί, μεταγενέστερα, να υπερασπιστεί τα δικαιώματά του έναντι των αποδεκτών αυτών. Η δε υποχρέωση παροχής της ως άνω ενημέρωσης κατά τη συλλογή των δεδομένων προσωπικού χαρακτήρα διασφαλίζει, μεταξύ άλλων, ότι τα δεδομένα αυτά δεν συλλέγονται από τον υπεύθυνο επεξεργασίας ενάντια στη βούληση του υποκειμένου των δεδομένων ούτε διαβιβάζονται παρά τη θέλησή του σε τρίτους.
110 Επομένως, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 69 των προτάσεών του, η υποχρέωση ενημέρωσης που προβλέπεται στο άρθρο 15, παράγραφος 1, στοιχείο δʹ, του κανονισμού 2018/1725 εντάσσεται στην έννομη σχέση που συνδέει το υποκείμενο των δεδομένων με τον υπεύθυνο επεξεργασίας και, ως εκ τούτου, έχει ως αντικείμενο τις πληροφορίες σε σχέση με το υποκείμενο των δεδομένων, όπως αυτές διαβιβάστηκαν στον υπεύθυνο επεξεργασίας, ήτοι πριν από οποιαδήποτε διαβίβαση σε τρίτο.
111 Ως εκ τούτου, πρέπει να γίνει δεκτό ότι, για τους σκοπούς της εφαρμογής της υποχρέωσης ενημέρωσης που προβλέπεται στο άρθρο 15, παράγραφος 1, στοιχείο δʹ, του κανονισμού 2018/1725, η δυνατότητα ταυτοποίησης του υποκειμένου των δεδομένων πρέπει να εκτιμάται κατά τη συλλογή των δεδομένων και από τη σκοπιά του υπευθύνου επεξεργασίας.
112 Εξ αυτού συνάγεται, όπως επισήμανε κατ’ ουσίαν ο γενικός εισαγγελέας στο σημείο 79 των προτάσεών του, ότι η υποχρέωση ενημέρωσης που υπέχει το ΕΣΕ ίσχυε εν προκειμένω πριν από τη διαβίβαση των επίμαχων παρατηρήσεων και ανεξάρτητα από το αν αυτές ήταν ή δεν ήταν προσωπικού χαρακτήρα, από τη σκοπιά της Deloitte, μετά την ενδεχόμενη ψευδωνυμοποίησή τους.
113 Η ερμηνεία αυτή δεν αναιρείται από το επιχείρημα που αντλεί το ΕΣΕ από το γράμμα του άρθρου 15, παράγραφος 1, στοιχείο δʹ, του κανονισμού 2018/1725, όπου γίνεται λόγος περί «αποδεκτών των δεδομένων προσωπικού χαρακτήρα». Πράγματι, όπως προκύπτει από τις σκέψεις 102 έως 108 της παρούσας αποφάσεως, η διάταξη αυτή διέπει την υποχρέωση ενημέρωσης που υπέχει ο υπεύθυνος επεξεργασίας κατά τη συλλογή των εν λόγω δεδομένων. Ωστόσο, το ζήτημα αν ο υπεύθυνος επεξεργασίας τήρησε, κατά το χρονικό αυτό σημείο, την υποχρέωση ενημέρωσης που υπέχει δεν μπορεί να εξαρτάται από τις δυνατότητες ταυτοποίησης του υποκειμένου των δεδομένων, τις οποίες διαθέτει ενδεχομένως ένας δυνητικός αποδέκτης κατόπιν μεταγενέστερης διαβίβασης των επίμαχων δεδομένων.
114 Όπως επισήμανε, κατ’ ουσίαν, ο γενικός εισαγγελέας στο σημείο 77 των προτάσεών του, η επιχειρηματολογία του ΕΣΕ, κατά την οποία ο έλεγχος ως προς την τήρηση της υποχρέωσης ενημέρωσης θα πρέπει να γίνεται με γνώμονα τη σκοπιά του αποδέκτη, έχει ως αποτέλεσμα τη χρονική μετάθεση του ελέγχου αυτού. Στο μέτρο που ο εν λόγω έλεγχος αφορά κατ’ ανάγκην δεδομένα προσωπικού χαρακτήρα τα οποία έχουν ήδη διαβιβαστεί στον αποδέκτη, η επιχειρηματολογία αυτή παραγνωρίζει επίσης το αντικείμενο της υποχρέωσης ενημέρωσης, το οποίο είναι άρρηκτα συνδεδεμένο με τη σχέση μεταξύ του υπευθύνου επεξεργασίας και του υποκειμένου των δεδομένων.
115 Ως εκ τούτου, το Γενικό Δικαστήριο υπέπεσε σε πλάνη περί το δίκαιο κρίνοντας, στις σκέψεις 97, 98, 100, 101 και 103 έως 105 της αναιρεσιβαλλομένης αποφάσεως, ότι ο ΕΕΠΔ, προκειμένου να εκτιμήσει αν το ΕΣΕ είχε τηρήσει την υποχρέωση ενημέρωσης που υπέχει δυνάμει του άρθρου 15, παράγραφος 1, στοιχείο δʹ, του κανονισμού 2018/1725, όφειλε να εξετάσει αν οι παρατηρήσεις που διαβιβάστηκαν στην Deloitte συνιστούσαν, από τη σκοπιά της, δεδομένα προσωπικού χαρακτήρα.
116 Επομένως, χωρίς να χρειάζεται να εξεταστούν τα επιχειρήματα του ΕΕΠΔ που συνοψίζονται στις σκέψεις 93 και 94 της παρούσας αποφάσεως, η δεύτερη αιτίαση του δευτέρου σκέλους του πρώτου λόγου αναιρέσεως πρέπει να γίνει δεκτή.
Β. Επί του δευτέρου λόγου αναιρέσεως
117 Δεδομένου ότι ο πρώτος λόγος αναιρέσεως είναι βάσιμος, ως προς το πρώτο σκέλος του και ως προς τη δεύτερη αιτίαση του δευτέρου σκέλους του, παρέλκει η εξέταση του δευτέρου λόγου αναιρέσεως του ΕΕΠΔ, ο οποίος αφορά παράβαση του άρθρου 4, παράγραφος 2, και του άρθρου 26, παράγραφος 1, του κανονισμού 2018/1725.
118 Επομένως, δεδομένου ότι έγινε δεκτός ο πρώτος λόγος αναιρέσεως, η αναιρεσιβαλλόμενη απόφαση πρέπει να αναιρεθεί.
VI. Επί της προσφυγής ενώπιον του Γενικού Δικαστηρίου
119 Σύμφωνα με το άρθρο 61, πρώτο εδάφιο, δεύτερη περίοδος, του Οργανισμού του Δικαστηρίου της Ευρωπαϊκής Ένωσης, το Δικαστήριο μπορεί, σε περίπτωση αναιρέσεως της αποφάσεως του Γενικού Δικαστηρίου, να αποφανθεί οριστικά επί της διαφοράς, εφόσον είναι ώριμη προς εκδίκαση.
120 Εν προκειμένω, η διαφορά είναι ώριμη προς εκδίκαση όσον αφορά τον πρώτο λόγο ακυρώσεως περί προβαλλόμενης παράβασης του άρθρου 3, σημείο 1, του κανονισμού 2018/1725, λόγω του ότι οι πληροφορίες που διαβιβάστηκαν στην Deloitte δεν αποτελούσαν δεδομένα προσωπικού χαρακτήρα. Συγκεκριμένα, λαμβανομένων υπόψη των εκτιμήσεων που εκτίθενται στις σκέψεις 58 έως 60 της παρούσας αποφάσεως, ο ΕΕΠΔ έκρινε, αφενός, χωρίς να υποπέσει σε πλάνη περί το δίκαιο, ότι οι παρατηρήσεις που διαβιβάστηκαν στην Deloitte συνιστούν πληροφορίες που αφορούν φυσικά πρόσωπα, ήτοι τους συντάκτες των παρατηρήσεων. Αφετέρου, όπως επισημάνθηκε στη σκέψη 111 της παρούσας αποφάσεως, στο πλαίσιο της εφαρμογής της υποχρέωσης ενημέρωσης που προβλέπεται στο άρθρο 15, παράγραφος 1, στοιχείο δʹ, του ως άνω κανονισμού, η δυνατότητα ταυτοποίησης του υποκειμένου των δεδομένων πρέπει να εκτιμάται με γνώμονα τη σκοπιά του υπευθύνου επεξεργασίας. Ωστόσο, δεν αμφισβητείται από τους διαδίκους ότι το ΕΣΕ διέθετε, υπό την ιδιότητα του υπευθύνου επεξεργασίας, όλες τις αναγκαίες πληροφορίες για την ταυτοποίηση των συντακτών των εν λόγω παρατηρήσεων. Από τα προεκτεθέντα προκύπτει ότι οι επίδικες πληροφορίες συνιστούν, αντιθέτως προς όσα υποστηρίζει το ΕΣΕ, δεδομένα προσωπικού χαρακτήρα. Ως εκ τούτου, ο πρώτος λόγος ακυρώσεως πρέπει να απορριφθεί ως αβάσιμος.
121 Αντιθέτως, η διαφορά δεν είναι ώριμη προς εκδίκαση όσον αφορά τον δεύτερο λόγο ακυρώσεως, δεδομένου ότι ο λόγος αυτός συνεπάγεται πραγματικές εκτιμήσεις στις οποίες δεν προέβη το Γενικό Δικαστήριο.
122 Κατά συνέπεια, η υπόθεση πρέπει να αναπεμφθεί στο Γενικό Δικαστήριο προκειμένου αυτό να εξετάσει τον δεύτερο λόγο ακυρώσεως.
VII. Επί των δικαστικών εξόδων
123 Δεδομένης της αναπομπής της υπόθεσης ενώπιον του Γενικού Δικαστηρίου, το Δικαστήριο επιφυλάσσεται ως προς τα σχετικά με την παρούσα αναιρετική διαδικασία δικαστικά έξοδα.
Για τους λόγους αυτούς, το Δικαστήριο (πρώτο τμήμα) αποφασίζει:
1) Αναιρεί την απόφαση του Γενικού Δικαστηρίου της Ευρωπαϊκής Ένωσης της 26ης Απριλίου 2023, ΕΣΕ κατά ΕΕΠΔ (T‑557/20, EU:T:2023:219).
2) Αναπέμπει την υπόθεση T‑557/20 ενώπιον του Γενικού Δικαστηρίου της Ευρωπαϊκής Ένωσης.
3) Επιφυλάσσεται ως προς τα δικαστικά έξοδα.
(υπογραφές)
