TFL Vsebine / TFLGlasnik

Sodba Splošnega sodišča T-557/20, 26. april 2023

Četudi se presoja v obravnavani zadevi opira na Uredbo 2018/1725¹, in ne neposredno na Uredbo 2016/679², je zaradi enotne definicije »osebnega podatka« v obeh predpisih predmetna sodba zanimiva tudi izven kroga upravljalcev, ki jih uvrščamo med t. i. institucije, organe, urade in agencije Evropske unije (ki pri obdelavi osebnih podatkov sledijo določbam Uredbe 2018/1725).

Uredba 2018/1725 in Uredba 2016/679 (Splošna uredba o varstvu podatkov) vsebujeta enako definicijo osebnega podatka. Prva v 1. točki 3. člena in druga v 1. točki 4. člena:
»[...]’osebni podatki’ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika [...]«.

Pojem osebnega podatka v praksi torej razumemo široko. Oba predpisa tudi razlikujeta med psevdonimnimi in anonimnimi podatki, tako da prvim še vedno priznavata naravo osebnega podatka, za anonimizirane podatke pa se ne uporablja noben od predpisov.

Oba predpisa določata, da bi bilo treba osebne podatke, ki so bili psevdonimizirani in ki jih je mogoče z uporabo dodatnih informacij pripisati posamezniku, obravnavati kot informacije o določljivem posamezniku. Pri ugotavljanju, ali je posameznik določljiv, bi bilo treba upoštevati vsa sredstva, za katera se razumno pričakuje, da jih bo upravljalec ali druga oseba uporabila za neposredno ali posredno identifikacijo posameznika. Da bi ugotovili, ali se za ta sredstva lahko razumno pričakuje, da bodo uporabljena za identifikacijo posameznika, bi bilo treba upoštevati vse objektivne dejavnike, kot so stroški identifikacije in čas, potreben zanjo, pa tudi razpoložljivo tehnologijo in tehnološki razvoj v času obdelave.³

Dejansko stanje zadeve

1. Na izvršni seji EOR⁴ je bil 7. junija 2017 sprejet sklep SRB/EES/2017/08 o shemi za reševanje družbe Banco Popular Español. EOR se je odločil odpisati in konvertirati kapitalske instrumente družbe Banco Popular, na podlagi člena 21 Uredbe št. 806/2014, ter uporabiti instrument prodaje poslovanja na podlagi člena 24 Uredbe št. 806/2014 s prenosom delnic na kupca. EOR je v sklepu še navedel, da za to, da bi lahko sprejel končno odločitev o tem, ali naj se delničarjem in upnikom, ki jih je prizadelo reševanje družbe Banco Popular, odobri nadomestilo, slednje poziva, naj izrazijo interes glede izvajanja svoje pravice do izjave na podlagi člena 41(2)(a) Listine Evropske unije o temeljnih pravicah.

2. Postopek v zvezi s pravico do izjave je potekal v dveh fazah. V prvi fazi (faza vpisa) so bili prizadeti delničarji in upniki pozvani, naj s spletnim obrazcem do 14. septembra 2018 izrazijo interes glede izvajanja svoje pravice do izjave. EOR je v tej fazi preveril, ali je imela vsaka stranka, ki je izrazila svoj interes, dejansko status prizadetega delničarja ali upnika. V drugi fazi (v nadaljevanju: faza posvetovanja) so lahko prizadeti delničarji in upniki, katerih status je EOR že preveril, predložili svoje pripombe glede predhodnega sklepa, h kateremu je bilo priloženo vrednotenje.

3. Podatki, zbrani v fazi vpisa, in sicer dokazi o identiteti udeležencev in lastništvu odpisanih ali konvertiranih in prenesenih kapitalskih instrumentov družbe Banco Popular, so bili dostopni omejenemu številu uslužbencev EOR, odgovornih za obdelavo teh podatkov, da bi lahko ugotovili upravičenost udeležencev. Ti podatki niso bili vidni uslužbencem EOR, zadolženim za obravnavo pripomb, prejetih v fazi posvetovanja, med katero so ti prejeli le pripombe, opredeljene s sklicevanjem na alfanumerično kodo, dodeljeno vsaki pripombi, predloženi na obrazcu. Alfanumerična koda je vsebovala 33‑mestni univerzalni edinstveni identifikator, ki je bil naključno ustvarjen ob prejemu odgovorov na obrazcu. Uslužbenci EOR, zadolženi za analizo pripomb, niso imeli dostopa niti do podatkov, zbranih v fazi vpisa – tako da so bile te pripombe ločene od osebnih informacij o osebah, ki so jih predložile – niti do podatkovnega ključa oziroma informacij, na podlagi katerih je mogoče določiti identiteto udeleženca, s sklicevanjem na edinstveno alfanumerično kodo, dodeljeno vsaki pripombi.

4. Ob koncu faze analize je EOR opredelil 3730 pripomb, razvrščenih glede na njihovo upoštevnost in temo. EOR je v tretji fazi, fazi proučitve, obravnaval pripombe v zvezi s predhodnim sklepom, pripombe v zvezi z vrednotenjem, in sicer 1104 pripombe, pa so bile 17. junija 2019 prek varnega virtualnega strežnika pri EOR posredovane družbi Deloitte. EOR je datoteke, ki jih je bilo treba posredovati družbi Deloitte, naložil na virtualni strežnik in omejenemu ter nadzorovanemu številu zaposlenih pri družbi Deloitte, ki so bili neposredno vpeti v projekt, omogočil dostop do teh datotek. Pripombe, prenesene družbi Deloitte, so bile filtrirane, kategorizirane in združene. Kadar je šlo za kopije prejšnjih pripomb, je bila družbi Deloitte poslana le ena različica, tako da posameznih pripomb, ki so bile ponovljene, v okviru iste teme ni bilo mogoče razlikovati, družba Deloitte pa ni imela možnosti ugotoviti, ali je pripombo oblikoval eden ali več udeležencev postopka. Pripombe, prenesene družbi Deloitte, so se nanašale le na pripombe, prejete v fazi posvetovanja, in so imele alfanumerično kodo. Prek te kode je bil EOR edini, ki je lahko pripombe povezal s podatki, prejetimi v fazi vpisa. Alfanumerična koda je bila razvita za revizijo, da bi se omogočilo naknadno preverjanje in da bi se po potrebi dokazalo, da je bila vsaka pripomba obravnavana in ustrezno upoštevana. Družba Deloitte ni imela dostopa do zbirke podatkov, zbranih v fazi vpisa.

5. Prizadeti delničarji in upniki, ki so odgovorili na obrazec, so 19., 26. in 28. oktobra ter 5. decembra 2019 ENVP⁵ poslali pet pritožb.

6. ENVP je po precej dolgotrajnem postopku, ki ni tekel brez vmesnih zapletov, 24. novembra 2020 sprejel sklep z naslednjo vsebino:

1. ENVP meni, da so bili podatki, ki jih je EOR delil z družbo Deloitte, psevdonimizirani podatki, ker so bile pripombe iz faze (posvetovanja) osebni podatki in ker je EOR delil alfanumerično kodo, ki omogoča povezavo odgovorov, prejetih v fazi (vpisa), z odgovori, podanimi v fazi (posvetovanja), čeprav podatki, ki so jih udeleženci predložili, da bi se identificirali v fazi (vpisa), družbi Deloitte niso bili posredovani.
2. ENVP meni, da je bila družba Deloitte uporabnica osebnih podatkov pritožnikov, v smislu 13. točke 3. člena Uredbe 2018/1725. Dejstvo, da družba Deloitte v izjavi EOR o varstvu osebnih podatkov ni bila navedena kot potencialna uporabnica osebnih podatkov, ki jih je EOR kot upravljalec zbral in obdelal v okviru postopka v zvezi s pravico do izjave, pomeni kršitev obveznosti obveščanja iz člena 15(1)(d) Uredbe 2018/1725.
3. Glede na vse tehnične in organizacijske ukrepe, ki jih je EOR uvedel za zmanjšanje tveganj glede pravice posameznikov do varstva podatkov v okviru postopka v zvezi s pravico do izjave, je ENVP sklenil, da ne bo izvajal svojega pooblastila za sprejetje popravljalnih ukrepov iz člena 58(2) Uredbe 2018/1725.
4. Kljub temu ENVP priporoča EOR, naj zagotovi, da bodo njegove izjave o varstvu osebnih podatkov v prihodnjih postopkih v zvezi s pravico do izjave zajemale obdelavo osebnih podatkov v fazi vpisa in v fazi posvetovanja ter vključevale vse potencialne uporabnike zbranih podatkov, da se v celoti izpolni obveznost obveščanja posameznikov, na katere se nanašajo osebni podatki, v skladu s členom 15 Uredbe 2018/1725.

7. EOR je s tožbo pred Splošnim sodiščem predlagal, naj se sklep ENVP z dne 24. novembra 2020 razglasi za ničnega. Zatrjeval je, da informacije, ki jih je posredoval družbi Deloitte, niso bile osebni podatki pritožnikov (kot tudi, da je ENVP posegel v pravico do dobrega upravljanja po 41. členu Listine Evropske unije o temeljnih pravicah).

Presoja Splošnega sodišča

Pri presoji se je Splošno sodišče oprlo na sodbo Sodišča EU z dne 19. oktobra 2016 v zadevi C‑582/14, Breyer. V tej zadevi je bilo še na podlagi Direktive 95/46/ES obravnavano vprašanje, ali je dinamični naslov internetnega protokola (IP‑naslov) osebni podatek v razmerju do ponudnika storitev spletnih medijev, ki ga je shranil. Sodišče EU je menilo, da je treba preveriti, ali je ta IP‑naslov mogoče opredeliti kot informacijo, ki se nanaša na »določljivega posameznika«, ob upoštevanju okoliščine, da IP-naslov temu ponudniku sam po sebi ne daje možnosti, da identificira uporabnika, ki je dostopal do tega spletnega mesta. Ocenilo je, da zgolj dejstvo, da ponudnik storitev spletnih medijev nima dodatnih informacij za identifikacijo posameznika (ima jih ponudnik internega konkretnega uporabnika), še ne pomeni, da ne gre za osebni podatek tudi z vidika ponudnika spletnih medijev. Sodišče EU je v zadevi C‑582/14 menilo, da bi bilo drugače, če bi bila identifikacija posameznika, na katerega se nanašajo osebni podatki, prepovedana z zakonom ali praktično neizvedljiva zaradi, na primer, pretiranega truda, ki bi bil potreben za identifikacijo z vidika porabe časa ter človeških in finančnih virov, zaradi česar bi se tveganje identifikacije dejansko kazalo kot nepomembno.

V novi zadevi T-557/20⁶ je Splošno sodišče poudarilo, da v obravnavanem primeru ni sporno, na eni strani, da alfanumerična koda, vsebovana v informacijah, posredovanih družbi Deloitte, sama po sebi ni omogočala identifikacije avtorjev pripomb in da, na drugi strani, družba Deloitte ni imela dostopa do podatkov, ki omogočajo individualno prepoznavanje in so bili pridobljeni v fazi vpisa ter bi bilo na njihovi podlagi udeležence zaradi alfanumerične kode mogoče povezati z njihovimi pripombami. Pri tem zgolj zaradi dejstva, da dodatnih informacij, potrebnih za identifikacijo avtorjev pripomb, prejetih v fazi posvetovanja, ni imela družba Deloitte, ampak EOR, ni mogoče a priori izključiti, da so informacije, ki so bile posredovane družbi Deloitte, zanjo pomenile osebne podatke. Ker pa se je ENVP v izpodbijanem sklepu za argument, da gre (tudi) z vidika Deloitte za osebne podatke, naslonil na dejstvo, da je imel EOR dodatne informacije, na podlagi katerih je bilo mogoče ponovno identificirati avtorje pripomb, in zaključil, da to zadostuje za ugotovitev, da so bile informacije, posredovane družbi Deloitte, osebni podatki ‒ pri čemer je priznal, da podatki, ki omogočajo individualno prepoznavanje in ki so bili prejeti v fazi vpisa, nikoli niso bili posredovani družbi Deloitte ‒ je očitno, da se je ENVP pri odločitvi omejil na proučitev možnosti ponovne identifikacije avtorjev pripomb s stališča EOR, ne pa s stališča družbe Deloitte.

Splošno sodišče je ocenilo, da bi moral ENVP ugotoviti, ali gre v primeru možnosti povezave informacij, posredovanih družbi Deloitte, z dodatnimi informacijami, ki jih ima na voljo EOR, za sredstvo, ki ga družba Deloitte lahko razumno uporabi za identifikacijo avtorjev pripomb. Ker ENVP ni preveril, ali ima družba Deloitte v praksi na voljo zakonita in izvedljiva sredstva, ki bi ji omogočala dostop do dodatnih informacij, potrebnih za ponovno identifikacijo avtorjev pripomb, torej ni mogel ugotoviti, da gre v primeru informacij, posredovanih družbi Deloitte, za informacije, ki se nanašajo na »določljivega posameznika« v smislu 1. točke 3. člena Uredbe 2018/1725.

Iz tega razloga je tožbenemu zahtevku ugodilo in izpodbijani sklep ENVP razglasilo za ničnega.

Sklep

Sodba po moji oceni pomeni odstop od široko razumljene in objektivizirane definicije osebnega podatka; od razumevanja, da je določljiva oseba tista, ki je objektivno določljiva, ne glede na informacije, s katerimi v danem trenutku razpolaga konkretni upravljalec. Tako se do zdaj pri obdelavi psevdonimnih podatkov nismo resno spraševali, ali je razumno pričakovati, da jih bo prejemnik lahko povezal z določljivim posameznikom. Postopali smo, kot da gre za osebne podatke, psevdonimizacija pa je zgolj ukrep za večjo varnost podatkov pri obdelavi. Šteli smo, da je za atribut določljivosti posameznika dovolj, da psevdonimne podatke z njim lahko poveže tisti, ki ima ključ – dokler ga ima.

Pristop Splošnega sodišča, ki je sicer, izhajajoč iz starejše sodbe Sodišča EU, pred ugotovitvijo, da gre za obdelavo osebnih podatkov, zapovedalo preverjanje razumnih (in zakonitih) možnosti prejemnika psevdonimnih podatkov, da jih z dodatnimi informacijami dejansko poveže z določljivimi posamezniki, je novost oziroma odmik od dosedanje prakse nadzornih organov.

Videli bomo, kako bo sodba vplivala na postopanje nadzornih organov v podobnih primerih.

¹ Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES.

² Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov).

³ Uvodna določba št. 16 Uredbe (EU) 2018/1725 in uvodna določba št. 26 Uredbe (EU) 2016/679.

⁴ Enotni odbor za reševanje bank v težavah s kar najmanjšimi posledicami za gospodarstvo in javne finance sodelujočih in drugih držav EU.

⁵ Evropski nadzornik za varstvo podatkov skrbi za to, da institucije in organi EU pri obdelavi osebnih podatkov spoštujejo pravico državljanov do varstva osebnih podatkov.

⁶ Enotni odbor za reševanje (EOR) proti Evropskemu nadzorniku za varstvo podatkov (ENVP).