Ga verder naar contentGa verder naar content en skip ook inhoudsopgave
OpMaat
Home

Arrest van het Hof (Eerste kamer) van 4 september 2025

Arrest van het Hof (Eerste kamer) van 4 september 2025

Gegevens

Instantie
Hof van Justitie EU
Datum uitspraak
4 september 2025

Uitspraak

Arrest van het Hof (Eerste kamer)

4 september 2025(*)

"„Hogere voorziening - Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens - Procedure voor het toekennen van compensatie aan aandeelhouders en crediteuren van een bank na de afwikkeling van die instelling - Besluit van de Europese Toezichthouder voor gegevensbescherming waarbij is vastgesteld dat de Gemeenschappelijke Afwikkelingsraad zijn verplichtingen met betrekking tot de verwerking van persoonsgegevens niet is nagekomen - Verordening (EU) 2018/1725 - Artikel 15, lid 1, onder d) - Verplichting om de betrokkene te informeren - Overdracht van gepseudonimiseerde gegevens aan een derde - Artikel 3, punt 1 - Begrip persoonsgegevens - Artikel 3, punt 6 - Begrip pseudonimisering ”"

In zaak C‑413/23 P,

betreffende een hogere voorziening krachtens artikel 56 van het Statuut van het Hof van Justitie van de Europese Unie, ingesteld op 5 juli 2023,

Europese Toezichthouder voor gegevensbescherming (EDPS), aanvankelijk vertegenwoordigd door P. Candellier, G. Devin, X. Lareo, D. Nardi en T. Zerdick, vervolgens door P. Candellier, X. Lareo, D. Nardi, N. Stolić en T. Zerdick als gemachtigden,

rekwirant,

ondersteund door:

Europees Comité voor gegevensbescherming, vertegenwoordigd door C. Foglia, M. Gufflet, G. Le Grand en I. Vereecken als gemachtigden, bijgestaan door E. de Lophem, avocat, G. Ryelandt, advocaat, en P. Vernet, avocat,

interveniënt in hogere voorziening, andere partij in de procedure:

Gemeenschappelijke Afwikkelingsraad (GAR), vertegenwoordigd door H. Ehlers, M. Fernández Rupérez en A. Lapresta Bienz als gemachtigden, bijgestaan door M. Braun, H.‑G. Kamann, Rechtsanwälte, en F. Louis, avocat,

verzoeker in eerste aanleg,

ondersteund door:

Europese Commissie, vertegenwoordigd door A. Bouchagiar en H. Kranenborg als gemachtigden,

interveniënte in hogere voorziening,

HET HOF (Eerste kamer),

samengesteld als volgt: F. Biltgen, kamerpresident, T. von Danwitz (rapporteur), vicepresident van het Hof, waarnemend rechter van de Eerste kamer, A. Kumin, I. Ziemele en S. Gervasoni, rechters,

advocaat-generaal: D. Spielmann,

griffier: M. Longar, administrateur,

gezien de stukken en na de terechtzitting op 7 november 2024,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 6 februari 2025,

het navolgende

Arrest

1 Met zijn hogere voorziening verzoekt de Europese Toezichthouder voor gegevensbescherming (EDPS) om vernietiging van het arrest van het Gerecht van de Europese Unie van 26 april 2023, GAR/EDPS (T‑557/20, EU:T:2023:219 ; hierna: „bestreden arrest”), waarbij het Gerecht het herziene besluit van de EDPS van 24 november 2020, dat is vastgesteld naar aanleiding van het verzoek van de Gemeenschappelijke Afwikkelingsraad (GAR) om herziening van het besluit van de EDPS van 24 juni 2020 betreffende vijf klachten van verschillende klagers (zaken 2019‑947, 2019‑998, 2019‑999, 2019‑1000 en 2019‑1122; hierna: „litigieus besluit”) nietig heeft verklaard.

I. Toepasselijke bepalingen

2 De overwegingen 5, 16, 17 en 35 van verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van verordening (EG) nr. 45/2001 en besluit nr. 1247/2002/EG (PB 2018, L 295, blz. 39) luiden als volgt:

„(5) In het belang van een samenhangende aanpak van de bescherming van persoonsgegevens in de gehele [Europese] Unie en het vrije verkeer van persoonsgegevens binnen de Unie dienen de gegevensbeschermingsvoorschriften voor de instellingen, organen en instanties van de Unie zo veel mogelijk op één lijn te worden gebracht met de gegevensbeschermingsvoorschriften die voor de overheidssector in de lidstaten zijn vastgesteld. Wanneer de bepalingen van deze verordening dezelfde principes volgen als de bepalingen van verordening (EU) 2016/679 [van het Europees Parlement en de Raad van27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1; hierna: „AVG”)], dienen beide bepalingen overeenkomstig de rechtspraak van het [Hof] homogeen te worden uitgelegd, in het bijzonder omdat gezien de opzet van deze verordening, zij moet worden opgevat als de tegenhanger van [de AVG].

[...]

(16) De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs te verwachten valt dat zij door de verwerkingsverantwoordelijke of door een andere persoon zullen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, zoals selectietechnieken. Om uit te maken of redelijkerwijs te verwachten valt dat middelen zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten [...] en de tijd die nodig zijn voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.

(17) De toepassing van pseudonimisering op persoonsgegevens kan de risico’s voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen. De uitdrukkelijke invoering van ‚pseudonimisering’ in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten.

[...]

(35) Overeenkomstig de beginselen van behoorlijke en transparante verwerking moet de betrokkene op de hoogte worden gesteld van het feit dat verwerking plaatsvindt en van de doeleinden daarvan. De verwerkingsverantwoordelijke dient de betrokkene alle nadere informatie te verstrekken die noodzakelijk is om behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. Voorts moet de betrokkene worden geïnformeerd over het bestaan van profilering en de gevolgen daarvan. Indien de persoonsgegevens van de betrokkene worden verkregen, moet hem worden meegedeeld of hij verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. Die informatie kan met behulp van gestandaardiseerde iconen worden verstrekt, teneinde op goed zichtbare, begrijpelijke en duidelijk leesbare wijze een overzicht van de voorgenomen verwerking te geven. Elektronisch weergegeven iconen moeten machineleesbaar zijn.”

3 Artikel 3 van verordening 2018/1725, met als opschrift „Definities”, bepaalt in de punten 1, 6, 8 en 13:

„Voor de toepassing van deze verordening gelden de volgende definities:

  1. ‚persoonsgegevens’: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (‚betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online-identificatiemiddel, of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

[...]

  1. ‚pseudonimisering’: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

[...]

  1. ‚verwerkingsverantwoordelijke’: de instelling of het orgaan van de Unie, het directoraat-generaal, of enig ander organisatieonderdeel die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doeleinden van en de middelen voor die verwerking bij een bijzonder besluit van de Unie worden vastgesteld, kan in het Unierecht worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

[...]

  1. ‚ontvanger’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden bekendgemaakt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers. De verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn”.

4 Artikel 4 van deze verordening, met het opschrift „Beginselen inzake verwerking van persoonsgegevens”, bepaalt in lid 2:

„De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).”

5 Artikel 14 van deze verordening, met als opschrift „Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene”, bepaalt in lid 1:

„De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 15 en 16 bedoelde informatie en de in de artikelen 17 tot en met 24 en artikel 35 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.”

6 Artikel 15 van deze verordening, met als opschrift „Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld”, bepaalt:

„1.

Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie:

[...]

  1. in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;

[...]

2.

Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen:

  1. de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

  2. dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, rectificatie of wissing van de persoonsgegevens of om beperking van de hem betreffende verwerking, of, in voorkomend geval, het recht tegen de verwerking bezwaar te maken of het recht op gegevensoverdraagbaarheid;

[...]

  1. of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;

[...]”

7 Artikel 24 van verordening 2018/1725 bepaalt onder welke voorwaarden een individueel besluit kan worden gebaseerd op geautomatiseerde verwerking, waaronder profilering.

8 Artikel 26 van die verordening, met als opschrift „Verantwoordelijkheid van de verwerkingsverantwoordelijke”, bepaalt in lid 1:

„Rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.”

II. Voorgeschiedenis van het geding

9 De in de punten 2 tot en met 32 van het bestreden arrest uiteengezette voorgeschiedenis van het geding kan als volgt worden samengevat.

10 Op 7 juni 2017 heeft de GAR tijdens zijn bestuursvergadering besluit SRB/EES/2017/08 over een afwikkelingsregeling voor Banco Popular Español, SA vastgesteld op de grondslag van verordening (EU) nr. 806/2014 van het Europees Parlement en de Raad van 15 juli 2014 tot vaststelling van eenvormige regels en een eenvormige procedure voor de afwikkeling van kredietinstellingen en bepaalde beleggingsondernemingen in het kader van een gemeenschappelijk afwikkelingsmechanisme en een gemeenschappelijk afwikkelingsfonds en tot wijziging van verordening (EU) nr. 1093/2010 (PB 2014, L 225, blz. 1; hierna: „GAM-verordening”).

11 In dit besluit heeft de GAR geoordeeld dat aan de voorwaarden van artikel 18, lid 1, van de GAM-verordening was voldaan en besloten om Banco Popular Español SA (hierna: „Banco Popular”) in afwikkeling te plaatsen. De GAR heeft dan ook besloten de kapitaalinstrumenten van Banco Popular overeenkomstig artikel 21 van die verordening af te schrijven en om te zetten, en het instrument van verkoop van de onderneming krachtens artikel 24 van die verordening toe te passen door de aandelen aan een koper over te dragen.

12 Op diezelfde dag heeft de Europese Commissie besluit (EU) 2017/1246 tot goedkeuring van de afwikkelingsregeling voor Banco Popular Español SA (PB 2017, L 178, blz. 15) vastgesteld.

13 Na de afwikkeling van Banco Popular is het audit- en advieskantoor Deloitte door de GAR belast met de in artikel 20, leden 16 tot en met 18, van de GAM-verordening geregelde waardering van het verschil in behandeling teneinde vast te stellen of de aandeelhouders en crediteuren van Banco Popular beter zouden zijn behandeld indien er een normale insolventieprocedure ten aanzien van Banco Popular was geopend (hierna: „waardering 3”). Op 14 juni 2018 heeft Deloitte deze waardering aan de GAR doorgezonden.

14 Op 6 augustus 2018 publiceerde de GAR op zijn website het bericht van 2 augustus 2018 betreffende zijn voorlopige besluit over het al dan niet toekennen van compensatie aan de aandeelhouders en crediteuren ten aanzien van wie de afwikkelingsmaatregelen aangaande Banco Popular Español SA waren genomen en betreffende de inleiding van de procedure om te worden gehoord (SRB/EES/2018/132) (hierna: „voorlopig besluit”), alsmede een niet-vertrouwelijke versie van waardering 3. Op 7 augustus 2018 is er een aankondiging met betrekking tot dit bericht bekendgemaakt in het Publicatieblad van de Europese Unie (PB 2018, C 277 I, blz. 1).

15 In het voorlopige besluit heeft de GAR aangegeven dat hij, om een definitief besluit te kunnen nemen over het al dan niet uit hoofde van artikel 76, lid 1, onder e), van de GAM-verordening moeten betalen van compensatie aan de door de afwikkeling van Banco Popular getroffen aandeelhouders en crediteuren (hierna: „getroffen aandeelhouders en crediteuren”), hen ertoe uitnodigde kenbaar te maken of zij gebruik willen maken van hun recht om te worden gehoord op grond van artikel 41, lid 2, onder a), van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”).

A. Procedure betreffende het recht om te worden gehoord

16 Volgens de aanwijzingen in het voorlopige besluit zou de procedure betreffende het recht om te worden gehoord in twee fasen verlopen.

17 In een eerste fase (hierna: „inschrijvingsfase”) werden de getroffen aandeelhouders en crediteuren ertoe uitgenodigd om tot en met 14 september 2018 via een online-inschrijvingsformulier kenbaar te maken of zij gebruik wilden maken van hun recht om te worden gehoord. Tijdens deze fase moesten de getroffen aandeelhouders en crediteuren die hun recht om te worden gehoord wilden uitoefenen, aan de GAR bewijsstukken overleggen waaruit bleek dat zij op de datum van afwikkeling van Banco Popular een of meer van haar kapitaalinstrumenten bezaten die in het kader van de afwikkeling waren afgeschreven of omgezet en aan Banco Santander SA waren overgedragen. De over te leggen bewijsstukken bestonden uit een identiteitsbewijs en een bewijs van de eigendom van een van deze kapitaalinstrumenten op 6 juni 2017. Vervolgens moest de GAR verifiëren of elke persoon die haar belangstelling kenbaar had gemaakt, daadwerkelijk de status van getroffen aandeelhouder of crediteur had.

18 Op 6 augustus 2018, de aanvangsdatum van de inschrijvingsfase, heeft de GAR op de internetpagina voor inschrijving in de procedure betreffende het recht om te worden gehoord en op zijn website tevens een privacyverklaring gepubliceerd over de verwerking van persoonsgegevens in het kader van deze procedure (hierna: „privacyverklaring”).

19 In een tweede fase (hierna: „raadplegingsfase”) konden de personen van wie de status van getroffen aandeelhouders en crediteuren door de GAR was geverifieerd, hun opmerkingen indienen over het voorlopige besluit en de bijgevoegde waardering 3. Op 16 oktober 2018 heeft de GAR op zijn website aangekondigd dat de getroffen aandeelhouders en crediteuren werd verzocht vanaf 6 november 2018 hun schriftelijke opmerkingen over het voorlopige besluit in de raadplegingsfase in te dienen.

20 Op 6 november 2018 heeft de GAR per e-mail aan de getroffen aandeelhouders en crediteuren een persoonlijke link gestuurd om toegang te krijgen tot een formulier op internet dat zeven vragen bevatte, met beperkte ruimte om te antwoorden, waarmee de getroffen aandeelhouders en crediteuren vóór 26 november 2018 opmerkingen konden indienen over het voorlopige besluit en de niet-vertrouwelijke versie van waardering 3.

21 De GAR heeft de relevante opmerkingen van de getroffen aandeelhouders en crediteuren met betrekking tot het voorlopige besluit onderzocht. Hij verzocht Deloitte, in haar hoedanigheid van onafhankelijke beoordelaar, om de relevante opmerkingen met betrekking tot waardering 3 te beoordelen, hem een document met haar beoordeling over te leggen en na te gaan of die waardering in het licht van deze opmerkingen geldig bleef.

B. Verwerking van de door de GAR in het kader van de procedure betreffende het recht om te worden gehoord verzamelde gegevens

22 De tijdens de inschrijvingsfase verzamelde gegevens, namelijk het bewijs van de identiteit van de getroffen aandeelhouders en crediteuren en van de eigendom van kapitaalinstrumenten van Banco Popular die zijn afgeschreven of omgezet en overgedragen, waren toegankelijk voor een beperkt aantal personeelsleden van de GAR, te weten de personeelsleden die met de verwerking van die gegevens waren belast om te bepalen of deze aandeelhouders en crediteuren in aanmerking kwamen voor compensatie.

23 De personeelsleden van de GAR die belast waren met de verwerking van de tijdens de raadplegingsfase ontvangen opmerkingen, hadden geen toegang tot de in de inschrijvingsfase verzamelde gegevens, zodat deze opmerkingen werden gescheiden van de persoonlijke informatie over de getroffen aandeelhouders en crediteuren die ze hadden ingediend. Evenmin hadden die personeelsleden toegang tot de gegevenssleutel of informatie die het mogelijk maakte de identiteit van een getroffen aandeelhouder of crediteur op te sporen aan de hand van de unieke alfanumerieke code die aan elke via het formulier ingediende opmerking was toegekend. Deze alfanumerieke code bestond uit een universeel uniek identificatienummer van 33 cijfers, dat willekeurig werd gegenereerd bij ontvangst van de antwoorden op het formulier.

24 In een eerste stap heeft de GAR 23 822 opmerkingen, die elk een unieke alfanumerieke code droegen en waren ingediend door 2 855 deelnemers aan de procedure, automatisch gefilterd. Twee algoritmen hebben 20 101 opmerkingen als identiek geïdentificeerd. In dat geval werd de als eerste ingediende opmerking beschouwd als de oorspronkelijke opmerking, die tijdens de analysefase werd onderzocht, en de identieke opmerkingen die later waren ontvangen, werden als doublures aangemerkt.

25 In een tweede stap heeft de GAR vastgesteld welke ingediende opmerkingen binnen de werkingssfeer van de procedure betreffende het recht om te worden gehoord vielen, aangezien zij van invloed konden zijn op het voorlopige besluit of op waardering 3. Vervolgens heeft hij deze opmerkingen aangemerkt als opmerkingen die door de GAR moesten worden onderzocht omdat zij betrekking hadden op het voorlopige besluit, dan wel als opmerkingen die door Deloitte moesten worden onderzocht omdat zij betrekking hadden op waardering 3. Na afloop van deze stap heeft de GAR 3 730 opmerkingen geïdentificeerd, die waren ingedeeld naar relevantie en onderwerp.

26 In een derde stap zijn de opmerkingen met betrekking tot het voorlopige besluit door de GAR verwerkt en zijn de opmerkingen betreffende waardering 3, te weten 1 104 opmerkingen, op 17 juni 2019 via een specifiek voor de GAR bestemde, beveiligde virtuele server aan Deloitte overgedragen. De GAR heeft de met Deloitte te delen bestanden op deze server geüpload en heeft toegang tot deze bestanden gegeven aan een beperkt en gecontroleerd aantal personeelsleden van Deloitte, te weten de personeelsleden die rechtstreeks betrokken waren bij het onderzoek van de opmerkingen met betrekking tot waardering 3.

27 De aan Deloitte overgemaakte opmerkingen waren gefilterd, gecategoriseerd en geaggregeerd. Voor zover het ging om kopieën van eerdere opmerkingen, is slechts één versie aan Deloitte doorgezonden. Dit betekende dat individuele opmerkingen die meermaals voorkwamen, binnen een bepaald onderwerp niet als zodanig konden worden onderkend en dat Deloitte niet kon weten of een opmerking door een of meer deelnemers aan de procedure betreffende het recht om te worden gehoord was gemaakt.

28 Enkel tijdens de raadplegingsfase ontvangen opmerkingen waar een alfanumerieke code aan was toegekend, werden aan Deloitte doorgegeven. De GAR was echter de enige die door middel van die code de opmerkingen kon koppelen aan de in de inschrijvingsfase ontvangen gegevens, met name de identificatiegegevens van de auteurs van de opmerkingen. De alfanumerieke code is ontwikkeld voor auditdoeleinden, zodat kan worden nagegaan en eventueel in een gerechtelijke procedure kan worden aangetoond dat elke opmerking is verwerkt en naar behoren in aanmerking is genomen. Deloitte had geen toegang tot de databank met gegevens die tijdens de inschrijvingsfase of tijdens de procedure betreffende het recht om te worden gehoord verzameld werden, en had daar op de datum van uitspraak van het bestreden arrest nog steeds geen toegang toe.

C. Procedure bij de EDPS

29 In de maanden oktober en december 2019 hebben getroffen aandeelhouders en crediteuren die op het formulier hadden geantwoord, bij de EDPS vijf klachten ingediend op grond van verordening 2018/1725. Met deze klachten hebben zij aangevoerd dat artikel 15, lid 1, onder d), van die verordening was geschonden omdat de GAR hun niet had meegedeeld dat de via de antwoorden op het formulier verzamelde gegevens in strijd met de privacyverklaring zouden worden doorgezonden aan derden, namelijk Deloitte en Banco Santander.

30 Na een procedure waarin de GAR op verzoek van de EDPS verschillende toelichtingen heeft verstrekt en de klagers opmerkingen hebben ingediend, heeft de EDPS op 24 juni 2020 een besluit vastgesteld betreffende vijf klachten die verschillende klagers tegen de GAR hadden ingediend (zaken 2019‑947, 2019‑998, 2019‑999, 2019‑1000 en 2019‑1122; hierna: „oorspronkelijk besluit”). In dat besluit oordeelde de EDPS dat de GAR inbreuk had gemaakt op artikel 15 van verordening 2018/1725 doordat hij de klagers in de privacyverklaring niet had geïnformeerd over de mogelijkheid dat hun persoonsgegevens aan Deloitte zouden worden bekendgemaakt. Bijgevolg heeft hij de GAR voor deze inbreuk berispt op grond van artikel 58, lid 2, onder b), van die verordening.

31 Op 22 juli 2020 heeft de GAR de EDPS verzocht om het oorspronkelijke besluit te herzien op grond van artikel 18, lid 1, van het besluit van de Europese Toezichthouder voor gegevensbescherming van 15 mei 2020 tot vaststelling van het reglement van orde van de EDPS (PB 2020, L 204, blz. 49). De GAR heeft met name een gedetailleerde beschrijving gegeven van de procedure betreffende het recht om te worden gehoord en van de wijze waarop de opmerkingen die vier van de geïdentificeerde klagers tijdens de raadplegingsfase hadden ingediend, waren geanalyseerd. Hij voerde aan dat de gegevens die aan Deloitte waren doorgezonden geen persoonsgegevens vormden in de zin van artikel 3, punt 1, van verordening 2018/1725.

32 Op 5 augustus 2020 heeft de EDPS de GAR meegedeeld dat hij in het licht van nieuw verstrekte informatie had besloten het oorspronkelijke besluit te herzien en dat hij een besluit zou vaststellen dat dit besluit zou vervangen.

33 Op 24 november 2020, na de herzieningsprocedure, in het kader waarvan de klagers opmerkingen hebben gemaakt en de GAR op verzoek van de EDPS aanvullende informatie heeft verstrekt, heeft de EDPS het litigieuze besluit vastgesteld.

34 Bij dit besluit heeft de EDPS het oorspronkelijke besluit als volgt herzien:

  • De EDPS is van mening dat de gegevens die de GAR met Deloitte heeft gedeeld, gepseudonimiseerde gegevens waren, zowel omdat de opmerkingen in de [raadplegingsfase] persoonsgegevens waren als omdat de GAR de alfanumerieke code deelde, op basis waarvan de in de [inschrijvingsfase] ontvangen antwoorden konden worden gekoppeld aan die van de [raadplegingsfase], terwijl de gegevens die de deelnemers hebben verstrekt om zich in de [inschrijvingsfase] te identificeren niet aan Deloitte waren bekendgemaakt.

  • Volgens de EDPS was Deloitte een ontvanger van de persoonsgegevens van de klagers in de zin van artikel 3, punt 13, van verordening 2018/1725. Het feit dat in de privacyverklaring van de GAR geen melding is gemaakt van Deloitte als potentiële ontvanger van de persoonsgegevens die door de GAR, als verwerkingsverantwoordelijke, werden verzameld en verwerkt in het kader van de procedure betreffende het recht om te worden gehoord, vormt een inbreuk op de informatieplicht van artikel 15, lid 1, onder d), [van verordening 2018/1725].

  • Gelet op alle technische en organisatorische maatregelen die de GAR heeft genomen ter beperking van de risico’s voor het recht van personen op gegevensbescherming in het kader van de procedure betreffende het recht om te worden gehoord, besluit de EDPS geen gebruik te maken van zijn in artikel 58, lid 2, [van verordening 2018/1725] bedoelde bevoegdheid om corrigerende maatregelen te nemen.

  • Niettemin beveelt de EDPS de GAR aan ervoor te zorgen dat zijn privacyverklaringen in toekomstige procedures betreffende het recht om te worden gehoord zowel in de inschrijvingsfase als in de raadplegingsfase verwijzen naar de verwerking van persoonsgegevens en alle potentiële ontvangers van de verzamelde informatie omvatten, teneinde volledig te voldoen aan de verplichting om de betrokkenen te informeren overeenkomstig artikel 15 [van verordening 2018/1725].”

III. Procedure bij het Gerecht en bestreden arrest

35 Bij verzoekschrift, neergelegd ter griffie van het Gerecht op 1 september 2020, heeft de GAR beroep ingesteld om, ten eerste, het litigieuze besluit nietig te verklaren en, ten tweede, het oorspronkelijke besluit onrechtmatig te verklaren.

36 Ter ondersteuning van de eerste vordering heeft de GAR twee middelen aangevoerd, waarvan het eerste was ontleend aan schending van artikel 3, punt 1, van verordening 2018/1725 omdat de aan Deloitte verstrekte informatie geen persoonsgegevens vormden, en het tweede aan schending van het in artikel 41 van het Handvest neergelegde recht op behoorlijk bestuur.

37 Bij het bestreden arrest heeft het Gerecht de tweede vordering tot vaststelling van de onrechtmatigheid van het oorspronkelijke besluit wegens onbevoegdheid afgewezen, aangezien de GAR een declaratoir vonnis en niet de nietigverklaring van een handeling nastreefde.

38 Daarentegen heeft het Gerecht de eerste vordering ontvankelijk verklaard. Wat de grond van de zaak betreft, heeft het Gerecht het eerste middel van het beroep toegewezen en het litigieuze besluit nietig verklaard, zonder het tweede middel van het beroep te onderzoeken.

IV. Procedure bij het Hof en conclusies van partijen

39 Bij beslissing van de president van het Hof van 20 oktober 2023 is de Commissie toegelaten tot interventie aan de zijde van de GAR. Bij beschikking van de president van het Hof van 29 november 2023 is het Europees Comité voor gegevensbescherming toegelaten tot interventie aan de zijde van de EDPS.

40 De EDPS, ondersteund door het Europees Comité voor gegevensbescherming, verzoekt het Hof:

  • het bestreden arrest te vernietigen;

  • de zaak zelf af te doen, en

  • de GAR te verwijzen in de kosten van de hogere voorziening en van de procedure voor het Gerecht.

41 De GAR, ondersteund door de Commissie, verzoekt het Hof:

  • de hogere voorziening af te wijzen;

  • subsidiair, het litigieuze besluit nietig te verklaren;

  • meer subsidiair, de zaak terug te verwijzen naar het Gerecht, en

  • de EDPS te verwijzen in de kosten van de hogere voorziening en van de procedure bij het Gerecht.

V. Hogere voorziening

42 Ter ondersteuning van zijn hogere voorziening voert de EDPS, ondersteund door het Europees Comité voor gegevensbescherming, twee middelen aan, waarvan het eerste is ontleend aan schending van artikel 3, punten 1 en 6, van verordening 2018/1725, zoals uitgelegd door het Hof, en het tweede aan schending van artikel 4, lid 2, en artikel 26, lid 1, van deze verordening.

A. Eerste middel

43 Met zijn eerste middel betoogt de EDPS in wezen dat het Gerecht blijk heeft gegeven van een onjuiste rechtsopvatting bij de uitlegging van artikel 3, punten 1 en 6, van verordening 2018/1725 door te oordelen dat het in het litigieuze besluit ten onrechte tot de slotsom was gekomen dat de in casu aan de orde zijnde informatie persoonsgegevens vormde. Dit middel bestaat uit twee onderdelen. Het eerste onderdeel betreft de in artikel 3, punt 1, van deze verordening gestelde voorwaarde dat de informatie „betrekking heeft” op een natuurlijke persoon, en het tweede onderdeel heeft betrekking op de in diezelfde bepaling gestelde voorwaarde dat die persoon „identificeerbaar” is.

1. Eerste onderdeel: onjuiste uitlegging van de voorwaarde in artikel 3, punt 1, van verordening 2018/1725 dat het gaat om informatie „betreffende” een natuurlijke persoon

a) Argumenten van partijen

44 Met het eerste onderdeel van het eerste middel voert de EDPS aan dat, anders dan het Gerecht in de punten 60 tot en met 74 van het bestreden arrest heeft geoordeeld, de aan Deloitte verstrekte informatie betrekking had op een natuurlijke persoon in de zin van artikel 3, punt 1, van verordening 2018/1725.

45 In de eerste plaats betoogt de EDPS dat, anders dan uit punt 70 van het bestreden arrest voortvloeit, de met de gegevensbescherming belaste autoriteiten niet verplicht kunnen zijn om in alle gevallen de inhoud, het doel of het effect van informatie te onderzoeken teneinde na te gaan of die informatie betrekking heeft op een natuurlijke persoon. Volgens de EDPS kon een dergelijk onderzoek met name niet worden verlangd met betrekking tot de door de GAR aan Deloitte toegezonden opmerkingen. Het was volgens hem namelijk al duidelijk dat die opmerkingen „betrekking hadden op” een natuurlijke persoon, want daarin kwam het persoonlijke standpunt van bepaalde crediteuren en aandeelhouders van Banco Popular over hun eventuele recht op compensatie op grond van artikel 76, lid 1, onder e), van de GAM-verordening tot uitdrukking.

46 In de tweede plaats betoogt de EDPS dat hij zich, anders dan in punt 71 van het bestreden arrest is vastgesteld, voor zijn conclusie dat er sprake was van persoonsgegevens, niet alleen heeft gebaseerd op de aard van de aan Deloitte toegezonden opmerkingen, maar ook op de omstandigheid dat de alfanumerieke code ook aan die vennootschap was toegezonden.

47 In de derde plaats voert de EDPS aan dat het bestreden arrest een tegenstrijdigheid bevat, aangezien het Gerecht, ten eerste, in punt 7 van dat arrest heeft opgemerkt dat de aan Deloitte toegezonden opmerkingen juist tot doel hadden specifieke natuurlijke personen, namelijk de getroffen aandeelhouders en crediteuren, in staat te stellen hun recht om te worden gehoord uit te oefenen met het oog op een eventuele compensatie op grond van artikel 76, lid 1, onder e), van de GAM-verordening. In tegenspraak met deze eerste vaststelling heeft het Gerecht, ten tweede, in punt 73 van dat arrest geoordeeld dat de EDPS zich had gebaseerd op vermoedens dat al deze aan Deloitte toegezonden opmerkingen persoonsgegevens vormden, zonder aan te tonen dat deze opmerkingen betrekking hadden op natuurlijke personen.

48 De GAR, ondersteund door de Commissie, betoogt dat dit argument moet worden afgewezen.

49 In de eerste plaats kan er volgens de rechtspraak die voortvloeit uit de arresten van 20 december 2017, Nowak (C‑434/16, EU:C:2017:994, punten 34 en 35 ), en  4 mei 2023, Österreichische Datenschutzbehörde en CRIF (C‑487/21, EU:C:2023:369, punten 23 en 24 ), bij objectieve of subjectieve informatie in de vorm van adviezen of beoordelingen sprake zijn van persoonsgegevens, mits deze informatie „betrekking heeft” op de betrokkene. Bovendien betreft informatie volgens deze rechtspraak een geïdentificeerde of identificeerbare natuurlijke persoon wanneer die informatie wegens haar inhoud, doel of gevolg gelieerd is aan een identificeerbare persoon. Zo heeft het Gerecht in de punten 70 tot en met 74 van het bestreden arrest terecht geoordeeld dat de EDPS die rechtspraak heeft geschonden door enkel aan te geven dat de aan Deloitte toegezonden opmerkingen de meningen of standpunten van de getroffen aandeelhouders en crediteuren weergaven, en dus zonder te hebben onderzocht of deze opmerkingen, gelet op hun inhoud, doel of gevolg, verband hielden met een identificeerbare persoon.

50 In de tweede plaats vormt de stelling van de EDPS dat uit het doel van die opmerkingen noodzakelijkerwijs voortvloeit dat het om persoonsgegevens gaat, een nieuwe feitelijke bewering, die voor het eerst voor de rechter in hogere voorziening is aangevoerd en dus niet-ontvankelijk is. Hoe dan ook is deze stelling niet ter zake dienend, aangezien de EDPS dit punt in het litigieuze besluit niet heeft onderzocht.

51 Wat in de derde plaats de vermeende tegenstrijdigheid van de motivering tussen de punten 7 en 73 van het bestreden arrest betreft, voert de GAR aan dat de beschrijving in punt 7 van dat arrest geen informatie bevat over de inhoud, het doel of het gevolg van de aan Deloitte toegezonden opmerkingen en dus niet in tegenspraak is met de conclusie in punt 73 van dat arrest.

b) Beoordeling door het Hof

52 Vooraf zij opgemerkt dat de definitie van het begrip „persoonsgegevens” in artikel 3, punt 1, van verordening 2018/1725 in wezen identiek is aan die in artikel 4, punt 1, AVG, welke definitie op haar beurt in wezen dezelfde strekking heeft als die van artikel 2, onder a), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31). Om een uniforme en coherente toepassing van het Unierecht te waarborgen, moeten artikel 3, punt 1, van verordening 2018/1725, artikel 4, punt 1, AVG en artikel 2, onder a), van richtlijn 95/46 dus op dezelfde wijze worden uitgelegd (zie in die zin arresten van 7 maart 2024, OC/Commissie, C‑479/22 P, EU:C:2024:215, punt 43 , en  7 maart 2024, IAB Europe, C‑604/22, EU:C:2024:214, punt 33 en aldaar aangehaalde rechtspraak).

53 Artikel 3, punt 1, van verordening 2018/1725 bepaalt dat onder persoonsgegevens wordt verstaan „iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”.

54 Het Hof heeft geoordeeld dat het gebruik van de woorden „alle informatie” in de definitie van het begrip „persoonsgegevens” in deze bepaling en in artikel 4, punt 1, AVG wijst op de bedoeling van de Uniewetgever om een ruime betekenis te geven aan dit begrip, dat zich potentieel uitstrekt tot elk soort informatie, zowel objectieve als subjectieve informatie, in de vorm van meningen of beoordelingen, op voorwaarde dat deze informatie de betrokkene „betreft” (arresten van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 23 en aldaar aangehaalde rechtspraak; 7 maart 2024, OC/Commissie, C‑479/22 P, EU:C:2024:215, punt 45 , en  4 oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punt 130 ).

55 Informatie betreft een geïdentificeerde of identificeerbare natuurlijke persoon wanneer die informatie wegens haar inhoud, doel of gevolg gelieerd is aan een identificeerbare persoon (arresten van 20 december 2017, Nowak, C‑434/16, EU:C:2017:994, punt 35 ; 7 maart 2024, OC/Commissie, C‑479/22 P, EU:C:2024:215, punt 45 , en  7 maart 2024, IAB Europe, C‑604/22, EU:C:2024:214, punt 37 en aldaar aangehaalde rechtspraak).

56 In casu heeft het Gerecht in punt 70 van het bestreden arrest weliswaar opgemerkt dat de EDPS de inhoud, het doel en het gevolg van de informatie uit de aan Deloitte toegezonden opmerkingen niet had onderzocht, maar uit de punten 71 en 72 van dat arrest blijkt niettemin dat de EDPS alleen door de inhoud van die opmerkingen vooraf te onderzoeken, kon vaststellen dat die opmerkingen de meningen of standpunten van de betrokken personen weerspiegelden. Op basis van deze vaststelling is de EDPS tot de slotsom gekomen dat er bij die opmerkingen sprake was van informatie over die personen. Volgens de in punt 55 van het onderhavige arrest in herinnering gebrachte rechtspraak hoeft een onderzoek van de inhoud van informatie niet noodzakelijkerwijs te worden aangevuld met een analyse van het doel en de gevolgen ervan, zoals blijkt uit het gebruik van het voegwoord „of” dat de verschillende in die rechtspraak bedoelde criteria met elkaar verbindt.

57 In de punten 73 en 74 van het bestreden arrest heeft het Gerecht evenwel geoordeeld dat de EDPS de informatie die uit de aan Deloitte toegezonden opmerkingen voortvloeiende, niet louter op basis van de vaststelling dat het om persoonlijke meningen of standpunten ging, als persoonsgegevens kon aanmerken, maar dat hij bovendien de inhoud, het doel en het gevolg van de aldus geuite meningen had moeten onderzoeken om vast te stellen of zij gelieerd waren aan een bepaalde persoon.

58 Deze beoordeling van het Gerecht gaat voorbij aan de bijzondere aard van persoonlijke meningen of standpunten die, als uitdrukking van iemands gedachte, noodzakelijkerwijs nauw met hem verbonden zijn.

59 De in het vorige punt gegeven uitlegging vindt steun in de rechtspraak die voortvloeit uit het arrest van 20 december 2017, Nowak (C‑434/16, EU:C:2017:994 ), dat onder meer betrekking had op de opmerkingen van een examinator bij de schriftelijke antwoorden van een kandidaat op een beroepsexamen. In de punten 42 tot en met 44 van dat arrest heeft het Hof weliswaar de inhoud, het doel en het gevolg van die opmerkingen beoordeeld om vast te stellen dat zij informatie vormden over de kandidaat op wie zij betrekking hadden, maar heeft het in wezen geoordeeld dat die opmerkingen ook betrekking hadden op de examinator die ze had opgesteld, aangezien zij de mening of de beoordeling van die examinator uitdrukten.

60 Hieruit volgt dat het Gerecht blijk heeft gegeven van een onjuiste rechtsopvatting door in de punten 73 en 74 van het bestreden arrest te oordelen dat de EDPS, om tot de slotsom te kunnen komen dat de informatie uit de aan Deloitte toegezonden opmerkingen de personen die deze opmerkingen hadden ingediend, „betrof” in de zin van artikel 3, punt 1, van verordening 2018/1725, de inhoud, het doel of de gevolgen van die opmerkingen had moeten onderzoeken. Het stond namelijk al vast dat zij de persoonlijke mening of het persoonlijke standpunt van de auteurs ervan weergaven.

61 Bijgevolg moet het eerste onderdeel van het eerste middel worden aanvaard, zonder dat de in de punten 46 en 47 van het onderhavige arrest samengevatte argumenten hoeven te worden onderzocht.

2. Tweede onderdeel van het eerste middel: onjuiste uitlegging van de voorwaarde in artikel 3, punt 1, van verordening 2018/1725 dat het gaat om informatie betreffende een „identificeerbare” natuurlijke persoon

62 Met het tweede onderdeel van het eerste middel voert de EDPS aan dat het Gerecht in de punten 76 tot en met 106 van het bestreden arrest ten onrechte heeft geoordeeld dat het niet kon vaststellen dat de informatie uit de aan Deloitte toegezonden opmerkingen betrekking had op een „identificeerbare” natuurlijke persoon in de zin van artikel 3, punt 1, van verordening 2018/1725. Dit onderdeel bestaat uit twee afzonderlijke grieven.

a) Eerste grief van het tweede onderdeel van het eerste middel

1) Argumenten van partijen

63 Om te beginnen herinnert de EDPS eraan dat volgens artikel 3, punt 1, van verordening 2018/1725 de verwerkingsverantwoordelijke of „een andere persoon” in staat moet zijn een persoon op wie de betrokken informatie betrekking heeft, te identificeren. Bij gebreke van aanwijzingen over de persoon die deze identificatie moet kunnen verrichten, volstaat het dat de betrokken persoon kan worden geïdentificeerd. In casu wordt niet betwist dat de aan Deloitte toegezonden opmerkingen, waarover de GAR beschikte, persoonsgegevens vormen. Bovendien blijkt uit artikel 3, punt 6, van deze verordening, gelezen in samenhang met overweging 16 ervan, dat gepseudonimiseerde gegevens persoonsgegevens zijn, louter omdat er aanvullende gegevens bestaan aan de hand waarvan deze gegevens aan een bepaalde persoon kunnen worden gekoppeld.

64 Volgens de EDPS houden de overwegingen in de punten 90 en 91 van het bestreden arrest onvoldoende rekening met de bewoordingen van deze bepalingen en met het onderscheid tussen anonimisering en pseudonimisering. In dit verband preciseert het Europees Comité voor gegevensbescherming dat volgens de uitlegging van het Gerecht persoonsgegevens van aard veranderen wanneer zij worden doorgegeven aan een externe entiteit, los van de verwerkingsverantwoordelijke, welke entiteit niet over aanvullende gegevens beschikt aan de hand waarvan de betrokkene kan worden geïdentificeerd. Deze uitlegging zou een dergelijke verantwoordelijke in staat stellen om persoonsgegevens ten onrechte te onttrekken aan de werkingssfeer van de Uniewetgeving inzake de bescherming van die gegevens, zelfs wanneer de verwerking door de externe entiteit de betrokkenen aan aanzienlijke risico’s zou blootstellen.

65 Vervolgens merkt de EDPS op dat de Uniewetgever met de invoering van het begrip pseudonimisering heeft verduidelijkt dat het voor de uitsluiting van persoonsgegevens van de werkingssfeer van de Uniewetgeving inzake de bescherming van die gegevens niet volstaat om persoonsgegevens te scheiden van de aanvullende gegevens aan de hand waarvan de betrokkene kan worden geïdentificeerd.

66 Ten slotte herinnert de EDPS eraan dat het begrip persoonsgegevens ruim moet worden uitgelegd, hetgeen volgens hem noodzakelijk is om het recht inzake gegevensbescherming zijn nuttig effect te laten sorteren. Voor zover op basis van de uitlegging van het Gerecht gepseudonimiseerde gegevens ten onrechte als anonieme gegevens kunnen worden beschouwd, zou die uitlegging afbreuk kunnen doen aan het door de Uniewetgever nagestreefde en door het Handvest vereiste hoge beschermingsniveau. Volgens het Europees Comité voor gegevensbescherming houdt de uitlegging van het Gerecht ook het risico in dat gepseudonimiseerde gegevens onbeperkt kunnen worden verwerkt op grond van de AVG en verordening 2018/1725, met inbegrip van het delen, publiceren en doorgeven ervan aan derde landen.

67 De GAR, daarin ondersteund door de Commissie, verzet zich tegen dit argument.

2) Beoordeling door het Hof

68 De eerste grief van het tweede onderdeel van het eerste middel is in wezen gebaseerd op de overweging dat gepseudonimiseerde gegevens zoals de aan Deloitte toegezonden opmerkingen in alle gevallen persoonsgegevens vormen louter omdat er informatie bestaat aan de hand waarvan de betrokkene kan worden geïdentificeerd, zonder dat concreet hoeft te worden onderzocht of de persoon op wie die gegevens betrekking hebben ondanks de pseudonimisering identificeerbaar is.

69 In dit verband zij eraan herinnerd dat volgens de bewoordingen van artikel 3, punt 1, van verordening 2018/1725 informatie betrekking moet hebben op een „geïdentificeerde of identificeerbare” natuurlijke persoon om als persoonsgegeven in de zin van die bepaling te kunnen worden aangemerkt. Voor de toepassing van deze verordening is dus in beginsel vereist dat wordt onderzocht of de betrokkene op wie de informatie in kwestie betrekking heeft, geïdentificeerd of identificeerbaar is.

70 Deze uitlegging vindt steun in de vijfde en de zesde volzin van overweging 16 van verordening 2018/1725, volgens welke „anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon” of „persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is”, niet onder de definitie van het begrip „persoonsgegevens” vallen (zie naar analogie arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, punt 57 ).

71 Wat meer in het bijzonder gepseudonimiseerde gegevens betreft, moet in de eerste plaats worden opgemerkt dat deze gegevens niet worden vermeld in de wettelijke definitie van het begrip „persoonsgegevens” in artikel 3, punt 1, van verordening 2018/1725, maar dat de kenmerken ervan blijken uit artikel 3, punt 6, van deze verordening. Deze laatste bepaling definieert het begrip „pseudonimisering” als „het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld”.

72 Zoals de advocaat-generaal in de punten 46 en 48 van zijn conclusie in wezen heeft opgemerkt, is pseudonimisering dus geen element van de definitie van „persoonsgegevens”, maar verwijst zij naar de invoering van technische en organisatorische maatregelen om het risico te verminderen dat een reeks van persoonsgegevens en de identiteit van de betrokkenen aan elkaar worden gerelateerd. Volgens overweging 17 van die verordening kan pseudonimisering „[slechts] de risico’s verminderen” die een dergelijke relatering voor deze personen met zich meebrengt en dus „de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen”.

73 In de tweede plaats blijkt uit de bewoordingen van artikel 3, punt 6, van verordening 2018/1725 dat het begrip „pseudonimisering” veronderstelt dat er informatie is aan de hand waarvan de betrokkene kan worden geïdentificeerd. Alleen al door het bestaan van dergelijke informatie is het uitgesloten dat gepseudonimiseerde gegevens in alle gevallen kunnen worden beschouwd als anonieme gegevens die buiten de werkingssfeer van deze verordening vallen.

74 Dit neemt niet weg dat in de derde plaats uit het in artikel 3, punt 6, van deze verordening neergelegde vereiste dat de identificatiegegevens apart moeten worden bewaard en dat er technische en organisatorische maatregelen moeten worden genomen „om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld”, blijkt dat pseudonimisering met name tot doel heeft te voorkomen dat de betrokkene enkel aan de hand van gepseudonimiseerde gegevens kan worden geïdentificeerd.

75 Voor zover dergelijke technische en organisatorische maatregelen daadwerkelijk zijn getroffen en daarmee wordt voorkomen dat de betreffende gegevens op zodanige wijze aan de betrokkene worden gekoppeld dat deze niet of niet meer identificeerbaar is, kan pseudonimisering immers gevolgen hebben voor het persoonlijke karakter van die gegevens in de zin van artikel 3, punt 1, van verordening 2018/1725.

76 In dit verband moet worden gepreciseerd dat de GAR, zoals normaliter het geval is voor de verwerkingsverantwoordelijke die de pseudonimisering heeft toegepast, in casu over aanvullende gegevens beschikt op basis waarvan de aan Deloitte toegezonden opmerkingen aan de betrokkene kunnen worden gekoppeld, zodat die opmerkingen voor hem, ondanks de pseudonimisering ervan, hun persoonlijke karakter behouden.

77 Voor Deloitte, waaraan de GAR gepseudonimiseerde opmerkingen heeft toegezonden, kan, zoals de GAR in wezen stelt, het gevolg van de in artikel 3, punt 6, van verordening 2018/1725 bedoelde technische en organisatorische maatregelen zijn dat die opmerkingen niet op een persoon betrekking hebben. Dit veronderstelt echter ten eerste dat Deloitte bij iedere onder haar toezicht verrichte verwerking van deze opmerkingen geen mogelijkheid heeft om deze maatregelen ongedaan te maken. Ten tweede moeten die maatregelen daadwerkelijk van dien aard zijn dat zij Deloitte ook beletten om diezelfde opmerkingen te koppelen aan de betrokken persoon door gebruik te maken van andere identificatiemiddelen, zoals een vergelijking met andere elementen, zodat de betrokkene voor deze vennootschap niet of niet meer identificeerbaar is.

78 Deze uitlegging vindt steun in overweging 16 van verordening 2018/1725, waarin, na de vermelding in de eerste volzin dat „[d]e beginselen van gegevensbescherming [...] voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon [moeten] gelden”, in de tweede volzin staat te lezen dat „[g]epseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, [...] als gegevens over een identificeerbare natuurlijke persoon [moeten] worden beschouwd”.

79 Naar aanleiding van deze aanwijzingen betreffende de persoonsgegevens en de gepseudonimiseerde gegevens preciseert de derde volzin van die overweging immers dat, om te bepalen of een natuurlijke persoon identificeerbaar is, rekening moet worden gehouden met „alle middelen waarvan redelijkerwijs te verwachten valt” dat zij door de verwerkingsverantwoordelijke of door „een andere persoon” zullen worden gebruikt om de natuurlijke persoon „direct of indirect” te identificeren. Voorts wordt in de vierde volzin van deze overweging verklaard dat, om uit te maken of redelijkerwijs te verwachten valt dat middelen zullen worden gebruikt om de natuurlijke persoon te identificeren, rekening moet worden gehouden met „alle objectieve factoren, zoals de kosten [...] en de tijd die nodig zijn voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen”.

80 Zoals de advocaat-generaal in punt 51 van zijn conclusie in wezen heeft opgemerkt, zou aan deze preciseringen betreffende de beoordeling of de betrokkene al dan niet identificeerbaar is, elk nuttig effect worden ontnomen indien gepseudonimiseerde gegevens voor de toepassing van verordening 2018/1725 in alle gevallen en voor eenieder als persoonsgegevens zouden moeten worden beschouwd.

81 In dit verband zij eraan herinnerd dat het Hof zich met betrekking tot een persbericht dat een aantal aanwijzingen bevatte over een persoon zonder deze bij naam te noemen, in zijn arrest van 7 maart 2024, OC/Commissie (C‑479/22 P, EU:C:2024:215, punten 52‑64 ), niet heeft beperkt tot de vaststelling dat het orgaan van de Unie dat dit persbericht had gepubliceerd, beschikte over alle informatie aan de hand waarvan die persoon kon worden geïdentificeerd, maar heeft onderzocht of de vermeldingen in dat persbericht het betrokken publiek redelijkerwijs in staat stelden om die persoon te identificeren, met name aan de hand van een combinatie van die vermeldingen met op internet beschikbare informatie.

82 Bovendien heeft het Hof reeds geoordeeld dat niet redelijkerwijs te verwachten valt dat een middel zal worden gebruikt om de betrokkene te identificeren wanneer het gevaar voor identificatie in werkelijkheid onbeduidend lijkt, aangezien de identificatie van die persoon bij wet verboden of in de praktijk ondoenlijk is, bijvoorbeeld omdat zij – gelet op de vereiste tijd, kosten en mankracht – een excessieve inspanning vergt (zie in die zin arrest van 7 maart 2024, OC/Commissie, C‑479/22 P, EU:C:2024:215, punt 51 en aldaar aangehaalde rechtspraak). Deze rechtspraak bevestigt de uitlegging dat het bestaan van aanvullende gegevens aan de hand waarvan de betrokkene kan worden geïdentificeerd, op zich niet impliceert dat gepseudonimiseerde gegevens voor de toepassing van verordening 2018/1725 in alle gevallen en voor eenieder als persoonsgegevens moeten worden beschouwd.

83 In dezelfde lijn heeft het Hof met name in de arresten van 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779, punten 44, 47 en 48), en  7 maart 2024, IAB Europe (C‑604/22, EU:C:2024:214, punten 43 en 48 ), in wezen geoordeeld dat door de verwerkingsverantwoordelijke verzamelde en bewaarde gegevens die op zich niet persoonsgebonden waren, toch verband hielden met een identificeerbare persoon, aangezien de verwerkingsverantwoordelijke over wettige middelen beschikte om van een ander de aanvullende gegevens te verkrijgen waarmee deze persoon kon worden geïdentificeerd. In dergelijke omstandigheden kon het feit dat verschillende personen de informatie in handen hadden waarmee de betrokkene kon worden geïdentificeerd, diens identificatie immers niet daadwerkelijk op zodanige wijze verhinderen, dat hij voor de verwerkingsverantwoordelijke niet identificeerbaar was.

84 Volgens de rechtspraak die voortvloeit uit het arrest van 9 november 2023, Gesamtverband Autoteile-Handel (Toegang tot voertuiginformatie) (C‑319/22, EU:C:2023:837, punten 46 en 49 ), kunnen gegevens die op zich onpersoonlijk zijn, een „persoonlijk” karakter verkrijgen wanneer de verwerkingsverantwoordelijke ze ter beschikking stelt aan andere personen die beschikken over middelen waarvan redelijkerwijs te verwachten valt dat de betrokkene daarmee kan worden geïdentificeerd. In het bijzonder blijkt uit laatstgenoemd arrest dat die gegevens – in de context van een dergelijke terbeschikkingstelling – zowel voor deze personen als indirect voor de verwerkingsverantwoordelijke persoonsgegevens vormen.

85 Gelet op de in het vorige punt in herinnering gebrachte rechtspraak betoogt de EDPS dus ten onrechte dat de omstandigheid dat gepseudonimiseerde gegevens voor de personen aan wie de verwerkingsverantwoordelijke dergelijke gegevens doorgeeft in voorkomend geval geen persoonlijk karakter hebben, ertoe zou kunnen leiden dat deze gegevens ten onrechte worden onttrokken aan de werkingssfeer van de Uniewetgeving inzake de bescherming van persoonsgegevens. Volgens deze rechtspraak heeft die omstandigheid immers geen invloed op de beoordeling van het persoonlijke karakter van die gegevens in de context van met name een eventuele latere doorgifte aan derden. Voor zover niet is uitgesloten dat deze derden redelijkerwijs in staat zullen zijn om met middelen, zoals een vergelijking met andere gegevens waarover zij beschikken, de gepseudonimiseerde gegevens te koppelen aan de betrokkene, moet deze persoon dus worden geacht identificeerbaar te zijn, zowel wat de doorgifte als wat de verdere verwerking van die gegevens door die derden betreft. In dergelijke omstandigheden moeten gepseudonimiseerde gegevens als persoonsgegevens worden beschouwd.

86 Hieruit volgt dat, anders dan de EDPS stelt, gepseudonimiseerde gegevens niet in alle gevallen en voor eenieder mogen worden beschouwd als persoonsgegevens voor de toepassing van verordening 2018/1725, aangezien pseudonimisering, afhankelijk van de omstandigheden van het geval, daadwerkelijk kan verhinderen dat andere personen dan de verwerkingsverantwoordelijke de betrokkene op zodanige wijze identificeren dat deze betrokkene voor hen niet of niet meer identificeerbaar is.

87 Aan deze uitlegging wordt niet afgedaan door de door de EDPS aangevoerde omstandigheid dat de vierde volzin van overweging 16 van verordening 2018/1725 betrekking heeft op de verwerkingsverantwoordelijke of „een andere persoon”. Uit de bewoordingen zelf van deze zin, die in punt 79 van het onderhavige arrest in herinnering zijn gebracht, volgt immers dat deze slechts verwijst naar personen die beschikken over of toegang hebben tot middelen waarvan redelijkerwijs te verwachten valt dat zij worden gebruikt om de betrokkene te identificeren. Zoals in de punten 75 tot en met 77 van het onderhavige arrest is opgemerkt, kan pseudonimisering, afhankelijk van de omstandigheden van het geval, daadwerkelijk verhinderen dat andere personen dan de verwerkingsverantwoordelijke de betrokkene op zodanig wijze identificeren dat deze betrokkene voor hen niet of niet meer identificeerbaar is.

88 Met betrekking tot het argument van de EDPS dat de doelstelling betreft om een hoog niveau van bescherming van persoonsgegevens te waarborgen, blijkt uit de bewoordingen van artikel 3, punt 1, van verordening 2018/1725 weliswaar dat de Uniewetgever het begrip „persoonsgegevens” ruim wil uitleggen, maar dit begrip is niet onbeperkt, aangezien deze bepaling met name vereist dat de betrokkene geïdentificeerd of identificeerbaar is.

89 Zoals de advocaat-generaal in punt 58 van zijn conclusie heeft opgemerkt, bevat verordening 2018/1725 met name verplichtingen, zoals de in artikel 15 van die verordening neergelegde verplichting om informatie te verstrekken aan de betrokkene, die alleen kunnen worden nagekomen als de betrokkene wordt geïdentificeerd. Dergelijke verplichtingen kunnen echter niet worden opgelegd aan een entiteit die helemaal niet tot die identificatie in staat is.

90 Hieruit volgt dat de eerste grief van het tweede onderdeel van het eerste middel ongegrond moet worden verklaard.

b) Tweede grief van het tweede onderdeel van het eerste middel

1) Argumenten van partijen

91 Met de tweede grief van het tweede onderdeel van het eerste middel voert de EDPS aan dat het Gerecht is voorbijgegaan aan de rechtspraak die voortvloeit uit het arrest van 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779 ).

92 In de eerste plaats is het Gerecht voorbijgegaan aan het objectieve karakter van de voorwaarde dat de betrokkene „identificeerbaar” is, door in de punten 97, 99 en 100 van het bestreden arrest met name te oordelen dat de EDPS had moeten onderzoeken of de aan Deloitte toegezonden opmerkingen vanuit het oogpunt van Deloitte persoonsgegevens vormden. Volgens de EDPS vloeit uit de punten 47 en 48 van het arrest van 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779 ), immers voort dat het enkele bestaan van juridische mogelijkheden om de betrokkene te identificeren, volstaat om vast te stellen dat deze persoon identificeerbaar is. In casu was de GAR in staat om de betrokken personen te identificeren, een omstandigheid waarmee het Gerecht onvoldoende rekening heeft gehouden bij de toepassing van de uit dat arrest voortvloeiende rechtspraak.

93 In de tweede plaats betoogt de EDPS dat in dat arrest de vraag of de betrokkene al dan niet kan worden geïdentificeerd, is beoordeeld vanuit het oogpunt van de verwerkingsverantwoordelijke in een situatie zonder enige band tussen deze verantwoordelijke en de entiteiten die in het bezit waren van de aanvullende gegevens waarmee die persoon kan worden geïdentificeerd. In casu is Deloitte daarentegen niet de verwerkingsverantwoordelijke en is zij bovendien gebonden door een overeenkomst met de GAR. Gelet op deze verschillen is de EDPS van mening dat hij niet verplicht was een volledige beoordeling te verrichten van de middelen waarvan redelijkerwijs te verwachten viel dat Deloitte daarmee de betrokken personen kon identificeren.

94 Zelfs al was de EDPS verplicht geweest te beoordelen of Deloitte in staat was om de auteurs van de haar toegezonden opmerkingen te identificeren, dan nog weerhield volgens de EDPS niets Deloitte ervan om die identificatie te verrichten.

95 De GAR, daarin ondersteund door de Commissie, verzet zich tegen dit argument.

96 In de eerste plaats heeft het Gerecht zich met name in de punten 96, 97 en 100 van het bestreden arrest terecht gebaseerd op een benadering volgens welke de identificeerbaarheid van de betrokkene moet worden onderzocht met betrekking tot elke betrokken persoon en elke betrokken verwerkingsverantwoordelijke die de relevante informatie verwerkt. In de context van de informatieplicht van artikel 15, lid 1, onder d), van verordening 2018/1725 moet dit onderzoek worden verricht vanuit het perspectief van de ontvanger van de betrokken informatie.

97 In de tweede plaats betoogt de GAR dat het argument inzake de vermeende verschillen tussen de onderhavige zaak en de zaak die heeft geleid tot het arrest van 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779 ), niet-ontvankelijk is. Volgens hem betwist dit argument de feitelijke vaststellingen van het Gerecht in de punten 94 en 95 van het bestreden arrest, volgens welke Deloitte geen toegang had tot de identificatiegegevens die nodig waren om de klagers te identificeren.

2) Beoordeling door het Hof

98 Met name in de punten 97 tot en met 100 van het bestreden arrest heeft het Gerecht in wezen geoordeeld dat de EDPS overeenkomstig de rechtspraak die voortvloeit uit het arrest van 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779 ), had moeten onderzoeken of de aan Deloitte toegezonden opmerkingen vanuit het oogpunt van Deloitte persoonsgegevens vormden. Om tot die vaststelling te komen, heeft het Gerecht met name opgemerkt dat de in het litigieuze besluit vastgestelde inbreuk op artikel 15, lid 1, onder d), van verordening 2018/1725 betrekking had op de overdracht door de GAR van deze opmerkingen aan Deloitte en niet louter op het feit dat deze opmerkingen bij de GAR berustten.

99 Vooraf zij eraan herinnerd dat artikel 3, punt 1, van verordening 2018/1725 niet uitdrukkelijk preciseert welk perspectief relevant is om te beoordelen of de betrokkene identificeerbaar is, terwijl overweging 16 van deze verordening zonder onderscheid verwijst naar de „verwerkingsverantwoordelijke” of „een andere persoon”. Bovendien is het vaste rechtspraak dat het voor de kwalificatie van een gegeven als „persoonsgegeven” niet vereist is dat alle informatie aan de hand waarvan de betrokkene kan worden geïdentificeerd, bij een en dezelfde persoon berust (zie in die zin arresten van 19 oktober 2016, Breyer, C‑582/14, EU:C:2016:779, punt 43 , en  7 maart 2024, OC/Commissie, C‑479/22 P, EU:C:2024:215, punt 48 ).

100 Volgens de rechtspraak die met name voortvloeit uit het arrest van 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779 ), die in de punten 81 tot en met 84 van het onderhavige arrest in herinnering is gebracht, hangt het relevante perspectief voor de beoordeling of de betrokkene kan worden geïdentificeerd in wezen af van de omstandigheden die de gegevensverwerking in elk afzonderlijk geval kenmerken.

101 In casu zij eraan herinnerd dat de EDPS in het litigieuze besluit heeft vastgesteld dat de GAR, door Deloitte niet als potentiële ontvanger van de opmerkingen te vermelden in de privacyverklaring die op het moment van de verzameling ervan was ingediend, zijn uit artikel 15, lid 1, onder d), van verordening 2018/1725 voortvloeiende informatieplicht niet was nagekomen.

102 Artikel 15, lid 1, van deze verordening bepaalt welke informatie de verwerkingsverantwoordelijke aan de betrokkene moet verstrekken wanneer persoonsgegevens bij hem worden verzameld, en preciseert dat deze informatie aan de betrokkene moet worden verstrekt „bij de verkrijging van de persoonsgegevens”. Uit de bewoordingen van deze bepaling volgt dat deze informatie onmiddellijk door de verwerkingsverantwoordelijke moet worden verstrekt, dat wil zeggen op het moment dat deze gegevens worden verzameld (zie naar analogie arrest van 29 juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, punt 104 en aldaar aangehaalde rechtspraak).

103 Wat meer in het bijzonder de in artikel 15, lid 1, onder d), van die verordening bedoelde informatie over de eventuele ontvangers van persoonsgegevens betreft, vormt één van meerdere soorten informatie die moet worden verstrekt bij het verzamelen van de gegevens bij de betrokkene.

104 Artikel 14, lid 1, van verordening 2018/1725 bepaalt dat de verwerkingsverantwoordelijke passende maatregelen neemt om er met name voor te zorgen dat de in het bijzonder in artikel 15 van deze verordening bedoelde informatie in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm aan de betrokkene wordt verstrekt en in duidelijke en eenvoudige taal is geformuleerd, om te waarborgen dat de betrokkene de informatie die hem wordt verstrekt volledig kan begrijpen [zie naar analogie arresten van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 38 , en  11 juli 2024, Meta Platforms Ireland (Representatieve vordering), C‑757/22, EU:C:2024:598, punten 55 en 56 ].

105 Het belang van de naleving van een dergelijke informatieplicht vindt steun in overweging 35 van verordening 2018/1725, waarin in de eerste en de tweede volzin staat te lezen dat overeenkomstig de beginselen van behoorlijke en transparante verwerking de betrokkene op de hoogte moet worden gesteld van het feit dat verwerking plaatsvindt en van de doeleinden daarvan, waarbij wordt benadrukt dat de verwerkingsverantwoordelijke ook alle nadere informatie dient te verstrekken die noodzakelijk is om behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt, zoals is bepaald in artikel 15, lid 2, van die verordening [zie naar analogie arrest van 11 juli 2024, Meta Platforms Ireland (Representatieve vordering), C‑757/22, EU:C:2024:598, punt 57 en aldaar aangehaalde rechtspraak].

106 Wanneer dergelijke gegevens bij de betrokkene worden verzameld op basis van diens toestemming – zoals in casu in het kader van de procedure betreffende het recht om te worden gehoord – hangt de geldigheid van de toestemming van de betrokkene dus onder meer af van de vraag of hij vooraf de informatie heeft verkregen over alle omstandigheden van de verwerking van de betrokken gegevens waarop hij krachtens artikel 15 van verordening 2018/1725 recht had en die hem in staat stellen met volledige kennis van zaken toestemming te geven [zie naar analogie arrest van 11 juli 2024, Meta Platforms Ireland (Representatieve vordering), C‑757/22, EU:C:2024:598, punt 60 ].

107 Wat voorts het geval betreft dat de betrokkene verplicht is om persoonsgegevens aan de verwerkingsverantwoordelijke te verstrekken, preciseert overweging 35 van deze verordening in de vierde volzin dat de betrokkene moet worden geïnformeerd of hij verplicht is om die persoonsgegevens te verstrekken en wat voor hem de gevolgen zijn indien hij deze gegevens niet verstrekt, hetgeen het belang bevestigt van de informatie die volgens artikel 15 van die verordening is vereist op het moment zelf waarop de gegevens bij de betrokkene worden verzameld.

108 In die omstandigheden blijkt dat de verplichting om de betrokkene – op het moment waarop de met hem verband houdende persoonsgegevens worden verzameld – informatie te verstrekken over de eventuele ontvangers van die gegevens, met name tot doel heeft die persoon in staat te stellen met volledige kennis van zaken te beslissen of hij zijn bij hem verzamelde persoonsgegevens verstrekt of juist weigert te verstrekken.

109 Hieraan moet worden toegevoegd dat, zoals de Commissie ter terechtzitting in wezen heeft betoogd, de informatie over de eventuele ontvangers zeker ook essentieel is om de betrokkene in staat te stellen zijn rechten later tegen die ontvangers te verdedigen. De verplichting om deze informatie te verstrekken bij het verzamelen van de persoonsgegevens waarborgt echter met name dat deze gegevens door de verwerkingsverantwoordelijke niet tegen de wil van de betrokkene worden verzameld of zelfs tegen zijn wil aan derden worden doorgegeven.

110 Hieruit volgt dat, zoals de advocaat-generaal in punt 69 van zijn conclusie heeft opgemerkt, de informatieplicht van artikel 15, lid 1, onder d), van verordening 2018/1725 valt binnen de rechtsverhouding die bestaat tussen de betrokkene en de verwerkingsverantwoordelijke en dus betrekking heeft op de informatie over die betrokkene zoals die aan die verantwoordelijke is verstrekt, dus vóór elke eventuele doorgifte aan een derde.

111 Bijgevolg moet worden geoordeeld dat voor de toepassing van de informatieverplichting van artikel 15, lid 1, onder d), van verordening 2018/1725 de identificeerbaarheid van de betrokkene moet worden beoordeeld op het moment waarop de gegevens worden verzameld en vanuit het oogpunt van de verwerkingsverantwoordelijke.

112 Hieruit volgt dat, zoals de advocaat-generaal in punt 79 van zijn conclusie in wezen heeft opgemerkt, de op de GAR rustende informatieplicht in het onderhavige geval van toepassing was vóór de doorgifte van de betrokken opmerkingen en ongeacht of die opmerkingen vanuit het oogpunt van Deloitte na de eventuele pseudonimisering ervan persoonsgegevens waren.

113 Aan deze uitlegging wordt niet afgedaan door het argument van de GAR dat de bewoordingen van artikel 15, lid 1, onder d), van verordening 2018/1725 verwijzen naar „ontvangers [...] van de persoonsgegevens”. Zoals blijkt uit de punten 102 tot en met 108 van het onderhavige arrest, regelt deze bepaling immers de informatieplicht die op de verwerkingsverantwoordelijke rust bij het verzamelen van dergelijke gegevens. De vraag of de verwerkingsverantwoordelijke op dat moment aan zijn informatieverplichting heeft voldaan, kan echter niet afhangen van de mogelijkheden waarover een eventuele ontvanger in voorkomend geval beschikt voor de identificatie van de betrokkene na een latere doorgifte van de betrokken gegevens.

114 Zoals de advocaat-generaal in punt 77 van zijn conclusie in wezen heeft opgemerkt, heeft het argument van de GAR dat bij het toezicht op de naleving van deze informatieverplichting moet worden uitgegaan van het standpunt van de ontvanger, tot gevolg dat dit toezicht tot een later moment wordt uitgesteld. Aangezien dat toezicht noodzakelijkerwijs betrekking heeft op persoonsgegevens die reeds aan de ontvanger zijn doorgegeven, gaat dit argument ook voorbij aan het doel van de informatieverplichting, die intrinsiek verbonden is met de relatie tussen de verwerkingsverantwoordelijke en de betrokkene.

115 Bijgevolg heeft het Gerecht blijk gegeven van een onjuiste rechtsopvatting door in de punten 97, 98, 100, 101 en 103 tot en met 105 van het bestreden arrest vast te stellen dat de EDPS ter beoordeling of de GAR had voldaan aan zijn informatieverplichting van artikel 15, lid 1, onder d), van verordening 2018/1725, had moeten onderzoeken of de aan Deloitte toegezonden opmerkingen vanuit het oogpunt van Deloitte persoonsgegevens vormden.

116 Hieruit volgt dat de tweede grief van het tweede onderdeel van het eerste middel moet worden aanvaard zonder dat de in de punten 93 en 94 van het onderhavige arrest samengevatte argumenten van de EDPS hoeven te worden onderzocht.

B. Tweede middel

117 Aangezien het eerste onderdeel van het eerste middel van de hogere voorziening en de tweede grief van het tweede onderdeel ervan gegrond zijn, hoeft het tweede middel van de EDPS betreffende schending van artikel 4, lid 2, en artikel 26, lid 1, van verordening 2018/1725, niet te worden onderzocht.

118 Aangezien het eerste middel van de hogere voorziening dus slaagt, moet het bestreden arrest worden vernietigd.

VI. Beroep bij het Gerecht

119 Overeenkomstig artikel 61, eerste alinea, tweede volzin, van het Statuut van het Hof van Justitie van de Europese Unie kan het Hof in geval van vernietiging van de beslissing van het Gerecht de zaak zelf afdoen wanneer deze in staat van wijzen is.

120 Met betrekking tot het eerste middel van het beroep, waarmee wordt aangevoerd dat de EDPS artikel 3, punt 1, van verordening 2018/1725 heeft geschonden, aangezien de gegevens die aan Deloitte waren doorgezonden geen persoonsgegevens vormden, is de zaak in casu in staat van wijzen. Gelet op de overwegingen in de punten 58 tot en met 60 van het onderhavige arrest kon de EDPS immers ten eerste, zonder het recht verkeerd toe te passen, oordelen dat de aan Deloitte toegezonden opmerkingen informatie vormden die betrekking had op natuurlijke personen, namelijk de auteurs van die opmerkingen. Ten tweede moet, zoals in punt 111 van dat arrest is opgemerkt, in het kader van de toepassing van de informatieplicht van artikel 15, lid 1, onder d), van die verordening, de identificeerbaarheid van de betrokkene worden beoordeeld vanuit het oogpunt van de verwerkingsverantwoordelijke. Tussen partijen wordt niet betwist dat de GAR als verwerkingsverantwoordelijke beschikte over alle informatie die nodig was om de auteurs van die opmerkingen te identificeren. Uit het voorgaande volgt dat er bij de litigieuze informatie, anders dan de GAR stelt, sprake was van persoonsgegevens. Bijgevolg moet het eerste middel van het beroep worden afgewezen.

121 De zaak is daarentegen niet in staat van wijzen wat het tweede middel van het beroep betreft, aangezien dit middel feitelijke beoordelingen impliceert die niet door het Gerecht zijn verricht.

122 Bijgevolg moet de zaak worden terugverwezen naar het Gerecht voor het onderzoek van het tweede middel.

VII. Kosten

123 Daar de zaak naar het Gerecht wordt terugverwezen, dient de beslissing omtrent de kosten van de hogere voorziening te worden aangehouden.

Het Hof (Eerste kamer) verklaart:

  1. Het arrest van het Gerecht van de Europese Unie van 26 april 2023, GAR/EDPS (T‑557/20, EU:T:2023:219 ), wordt vernietigd.

  2. Zaak T‑557/20 wordt terugverwezen naar het Gerecht van de Europese Unie.

  3. De beslissing omtrent de kosten wordt aangehouden.

ondertekeningen