Μετά την εξυγίανση της Banco Popular Español, στις 7 Ιουνίου 2017, το Ενιαίο Συμβούλιο Εξυγίανσης (SRB) εξέδωσε προκαταρκτική απόφαση σχετικά με το αν ήταν απαραίτητο να χορηγηθεί αποζημίωση στους πρώην μετόχους και πιστωτές της εν λόγω τράπεζας ως αποτέλεσμα της εν λόγω εξυγίανσης. Δεδομένου ότι η απόφαση αυτή εκδόθηκε χωρίς να ακουστούν τα εν λόγω πρόσωπα, το ΕΣΔΑ οργάνωσε στη συνέχεια διαδικασία προκειμένου να τους δοθεί η δυνατότητα να υποβάλουν παρατηρήσεις επί της εν λόγω προκαταρκτικής απόφασης. Στο πλαίσιο της διαδικασίας αυτής, το ΕΣΔΑ διαβίβασε ορισμένες από τις παρατηρήσεις αυτές, υπό μορφή ψευδωνυμοποιημένων δεδομένων, στην Deloitte, εταιρεία ελέγχου και παροχής συμβουλών στην οποία το ΕΣΔΑ ανέθεσε την εκτίμηση των επιπτώσεων της διαδικασίας εξυγίανσης στους μετόχους και τους πιστωτές.
Ορισμένοι μέτοχοι και πιστωτές που επηρεάστηκαν υπέβαλαν καταγγελίες στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) με την αιτιολογία ότι το SRB δεν τους είχε ενημερώσει ότι τα δεδομένα που τους αφορούσαν θα διαβιβάζονταν σε τρίτους, συγκεκριμένα στη Deloitte. Ο ΕΕΠΔ διαπίστωσε ότι, στην παρούσα περίπτωση, η Deloitte ήταν αποδέκτης των προσωπικών δεδομένων των καταγγελλόντων. Επιπλέον, διαπίστωσε ότι το SRB είχε παραβιάσει την υποχρέωση παροχής πληροφοριών που ορίζεται στον Κατόπιν αυτού, το SRB άσκησε προσφυγή ακύρωσης της απόφασης του ΕΕΠΔ ενώπιον του Γενικού Δικαστηρίου της Ευρωπαϊκής Ένωσης. Το Γενικό Δικαστήριο δέχθηκε εν μέρει την προσφυγή και ακύρωσε την εν λόγω απόφαση.
Κατόπιν προσφυγής του ΕΕΠΔ, το Δικαστήριο ακύρωσε την απόφαση του Γενικού Δικαστηρίου και αναπέμπει την υπόθεση σε αυτό.
Το Δικαστήριο έκρινε, καταρχάς, ότι το Γενικό Δικαστήριο υπέπεσε σε νομικό σφάλμα όταν έκρινε ότι ο ΕΔΠΔ, προκειμένου προκειμένου να καταλήξει στο συμπέρασμα ότι οι πληροφορίες που περιέχονταν στα σχόλια που διαβιβάστηκαν στη Deloitte «σχετίζονταν», κατά την έννοια του κανονισμού 2018/1725, με τα πρόσωπα που υπέβαλαν τα σχόλια αυτά, θα έπρεπε να εξετάσει το περιεχόμενο, τον σκοπό ή τα αποτελέσματα των σχολίων αυτών, ενώ ήταν κοινά αποδεκτό ότι αυτά εξέφραζαν την προσωπική γνώμη ή άποψη των συντακτών τους. Σύμφωνα με το Δικαστήριο, η ερμηνεία του Γενικού Δικαστηρίου παραποιεί τον ιδιαίτερο χαρακτήρα των προσωπικών απόψεων ή θέσεων οι οποίες, ως έκφραση της σκέψης ενός ατόμου, συνδέονται αναγκαστικά στενά με το εν λόγω άτομο.
Δεύτερον, το Δικαστήριο επιβεβαίωσε ότι το Γενικό Δικαστήριο είχε δίκιο όταν έκρινε ότι
τα ψευδωνυμοποιημένα δεδομένα δεν πρέπει να θεωρούνται, σε όλες τις περιπτώσεις και για κάθε πρόσωπο, προσωπικά δεδομένα για τους σκοπούς της εφαρμογής του κανονισμού 2018/1725. Από τις διατάξεις του εν λόγω κανονισμού, όπως ερμηνεύονται στη νομολογία, προκύπτει ότι η ψευδωνυμοποίηση μπορεί, ανάλογα με τις περιστάσεις της εκάστοτε υπόθεσης, να εμποδίζει αποτελεσματικά πρόσωπα άλλα από τον υπεύθυνο επεξεργασίας να ταυτοποιήσουν το υποκείμενο των δεδομένων κατά τρόπο ώστε, για τα πρόσωπα αυτά, το υποκείμενο των δεδομένων να μην είναι ή να μην είναι πλέον ταυτοποιήσιμο. Στο πλαίσιο αυτό, το Δικαστήριο φροντίζει να υπενθυμίσει τις κατευθυντήριες γραμμές της νομολογίας του σχετικά με την εκτίμηση του κατά πόσον το υποκείμενο των δεδομένων είναι αναγνωρίσιμο σε καταστάσεις στις οποίες οι πληροφορίες που επιτρέπουν την αναγνώρισή του δεν ήταν στην κατοχή άλλων προσώπων.
Τρίτον, το Δικαστήριο έκρινε ότι το Γενικό Δικαστήριο υπέπεσε σε νομικό σφάλμα όταν έκρινε ότι, προκειμένου να αξιολογήσει εάν το SRB είχε συμμορφωθεί με την υποχρέωσή του να παρέχει πληροφορίες, ο ΕΔΠΘ θα έπρεπε να είχε εξετάσει εάν τα σχόλια που διαβιβάστηκαν στη Deloitte αποτελούσαν, από την άποψη της Deloitte, δεδομένα προσωπικού χαρακτήρα. Σύμφωνα με το Δικαστήριο, από τη νομολογία προκύπτει σαφώς ότι η σχετική προοπτική για την εκτίμηση του αναγνωρίσιμου χαρακτήρα του υποκειμένου των δεδομένων εξαρτάται, κατά ουσίαν, από τις περιστάσεις της επεξεργασίας των δεδομένων σε κάθε μεμονωμένη περίπτωση. Όσον αφορά την εν λόγω υποχρέωση παροχής πληροφοριών, το Δικαστήριο επισημαίνει ότι η υποχρέωση αυτή αποτελεί μέρος της έννομης σχέσης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας και, ως εκ τούτου, αφορά τις πληροφορίες που σχετίζονται με το εν λόγω υποκείμενο των δεδομένων, όπως διαβιβάστηκαν στον εν λόγω υπεύθυνο επεξεργασίας, δηλαδή πριν από οποιαδήποτε ενδεχόμενη διαβίβαση σε τρίτο μέρος. Κατά συνέπεια, το Δικαστήριο έκρινε ότι η αναγνωρίσιμη φύση του υποκειμένου των δεδομένων πρέπει να αξιολογείται κατά τον χρόνο συλλογής των δεδομένων και από την άποψη του υπευθύνου επεξεργασίας. Η υποχρέωση παροχής πληροφοριών του SRB ίσχυε πριν από τη διαβίβαση των εν λόγω δεδομένων και ανεξάρτητα από το αν τα δεδομένα αυτά ήταν προσωπικά δεδομένα, από την άποψη της Deloitte, μετά από οποιαδήποτε ενδεχόμενη ψευδωνυμοποίηση.
