HvJ EU, 04-09-2025, nr. C-413/23 P

Om te beginnen herinnert de EDPS eraan dat volgens artikel 3, punt 1, van verordening 2018/1725 de verwerkingsverantwoordelijke of ‘een andere persoon’ in staat moet zijn een persoon op wie de betrokken informatie betrekking heeft, te identificeren. Bij gebreke van aanwijzingen over de persoon die deze identificatie moet kunnen verrichten, volstaat het dat de betrokken persoon kan worden geïdentificeerd. In casu wordt niet betwist dat de aan Deloitte toegezonden opmerkingen, waarover de GAR beschikte, persoonsgegevens vormen. Bovendien blijkt uit artikel 3, punt 6, van deze verordening, gelezen in samenhang met overweging 16 ervan, dat gepseudonimiseerde gegevens persoonsgegevens zijn, louter omdat er aanvullende gegevens bestaan aan de hand waarvan deze gegevens aan een bepaalde persoon kunnen worden gekoppeld.

Volgens de EDPS houden de overwegingen in de punten 90 en 91 van het bestreden arrest onvoldoende rekening met de bewoordingen van deze bepalingen en met het onderscheid tussen anonimisering en pseudonimisering. In dit verband preciseert het Europees Comité voor gegevensbescherming dat volgens de uitlegging van het Gerecht persoonsgegevens van aard veranderen wanneer zij worden doorgegeven aan een externe entiteit, los van de verwerkingsverantwoordelijke, welke entiteit niet over aanvullende gegevens beschikt aan de hand waarvan de betrokkene kan worden geïdentificeerd. Deze uitlegging zou een dergelijke verantwoordelijke in staat stellen om persoonsgegevens ten onrechte te onttrekken aan de werkingssfeer van de Uniewetgeving inzake de bescherming van die gegevens, zelfs wanneer de verwerking door de externe entiteit de betrokkenen aan aanzienlijke risico's zou blootstellen.

Vervolgens merkt de EDPS op dat de Uniewetgever met de invoering van het begrip pseudonimisering heeft verduidelijkt dat het voor de uitsluiting van persoonsgegevens van de werkingssfeer van de Uniewetgeving inzake de bescherming van die gegevens niet volstaat om persoonsgegevens te scheiden van de aanvullende gegevens aan de hand waarvan de betrokkene kan worden geïdentificeerd.

Ten slotte herinnert de EDPS eraan dat het begrip persoonsgegevens ruim moet worden uitgelegd, hetgeen volgens hem noodzakelijk is om het recht inzake gegevensbescherming zijn nuttig effect te laten sorteren. Voor zover op basis van de uitlegging van het Gerecht gepseudonimiseerde gegevens ten onrechte als anonieme gegevens kunnen worden beschouwd, zou die uitlegging afbreuk kunnen doen aan het door de Uniewetgever nagestreefde en door het Handvest vereiste hoge beschermingsniveau. Volgens het Europees Comité voor gegevensbescherming houdt de uitlegging van het Gerecht ook het risico in dat gepseudonimiseerde gegevens onbeperkt kunnen worden verwerkt op grond van de AVG en verordening 2018/1725, met inbegrip van het delen, publiceren en doorgeven ervan aan derde landen.

De GAR, daarin ondersteund door de Commissie, verzet zich tegen dit argument.

De eerste grief van het tweede onderdeel van het eerste middel is in wezen gebaseerd op de overweging dat gepseudonimiseerde gegevens zoals de aan Deloitte toegezonden opmerkingen in alle gevallen persoonsgegevens vormen louter omdat er informatie bestaat aan de hand waarvan de betrokkene kan worden geïdentificeerd, zonder dat concreet hoeft te worden onderzocht of de persoon op wie die gegevens betrekking hebben ondanks de pseudonimisering identificeerbaar is.

In dit verband zij eraan herinnerd dat volgens de bewoordingen van artikel 3, punt 1, van verordening 2018/1725 informatie betrekking moet hebben op een ‘geïdentificeerde of identificeerbare’ natuurlijke persoon om als persoonsgegeven in de zin van die bepaling te kunnen worden aangemerkt. Voor de toepassing van deze verordening is dus in beginsel vereist dat wordt onderzocht of de betrokkene op wie de informatie in kwestie betrekking heeft, geïdentificeerd of identificeerbaar is.

Deze uitlegging vindt steun in de vijfde en de zesde volzin van overweging 16 van verordening 2018/1725, volgens welke ‘anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon’ of ‘persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is’, niet onder de definitie van het begrip ‘persoonsgegevens’ vallen (zie naar analogie arrest van 5 december 2023, Nacionalinis visuomenės sveikatos centras, C-683/21, EU:C:2023:949, punt 57).

Wat meer in het bijzonder gepseudonimiseerde gegevens betreft, moet in de eerste plaats worden opgemerkt dat deze gegevens niet worden vermeld in de wettelijke definitie van het begrip ‘persoonsgegevens’ in artikel 3, punt 1, van verordening 2018/1725, maar dat de kenmerken ervan blijken uit artikel 3, punt 6, van deze verordening. Deze laatste bepaling definieert het begrip ‘pseudonimisering’ als ‘het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld’.

Zoals de advocaat-generaal in de punten 46 en 48 van zijn conclusie in wezen heeft opgemerkt, is pseudonimisering dus geen element van de definitie van ‘persoonsgegevens’, maar verwijst zij naar de invoering van technische en organisatorische maatregelen om het risico te verminderen dat een reeks van persoonsgegevens en de identiteit van de betrokkenen aan elkaar worden gerelateerd. Volgens overweging 17 van die verordening kan pseudonimisering ‘[slechts] de risico's verminderen’ die een dergelijke relatering voor deze personen met zich meebrengt en dus ‘de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen’.

In de tweede plaats blijkt uit de bewoordingen van artikel 3, punt 6, van verordening 2018/1725 dat het begrip ‘pseudonimisering’ veronderstelt dat er informatie is aan de hand waarvan de betrokkene kan worden geïdentificeerd. Alleen al door het bestaan van dergelijke informatie is het uitgesloten dat gepseudonimiseerde gegevens in alle gevallen kunnen worden beschouwd als anonieme gegevens die buiten de werkingssfeer van deze verordening vallen.

Dit neemt niet weg dat in de derde plaats uit het in artikel 3, punt 6, van deze verordening neergelegde vereiste dat de identificatiegegevens apart moeten worden bewaard en dat er technische en organisatorische maatregelen moeten worden genomen ‘om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld’, blijkt dat pseudonimisering met name tot doel heeft te voorkomen dat de betrokkene enkel aan de hand van gepseudonimiseerde gegevens kan worden geïdentificeerd.

Voor zover dergelijke technische en organisatorische maatregelen daadwerkelijk zijn getroffen en daarmee wordt voorkomen dat de betreffende gegevens op zodanige wijze aan de betrokkene worden gekoppeld dat deze niet of niet meer identificeerbaar is, kan pseudonimisering immers gevolgen hebben voor het persoonlijke karakter van die gegevens in de zin van artikel 3, punt 1, van verordening 2018/1725.

In dit verband moet worden gepreciseerd dat de GAR, zoals normaliter het geval is voor de verwerkingsverantwoordelijke die de pseudonimisering heeft toegepast, in casu over aanvullende gegevens beschikt op basis waarvan de aan Deloitte toegezonden opmerkingen aan de betrokkene kunnen worden gekoppeld, zodat die opmerkingen voor hem, ondanks de pseudonimisering ervan, hun persoonlijke karakter behouden.

Voor Deloitte, waaraan de GAR gepseudonimiseerde opmerkingen heeft toegezonden, kan, zoals de GAR in wezen stelt, het gevolg van de in artikel 3, punt 6, van verordening 2018/1725 bedoelde technische en organisatorische maatregelen zijn dat die opmerkingen niet op een persoon betrekking hebben. Dit veronderstelt echter ten eerste dat Deloitte bij iedere onder haar toezicht verrichte verwerking van deze opmerkingen geen mogelijkheid heeft om deze maatregelen ongedaan te maken. Ten tweede moeten die maatregelen daadwerkelijk van dien aard zijn dat zij Deloitte ook beletten om diezelfde opmerkingen te koppelen aan de betrokken persoon door gebruik te maken van andere identificatiemiddelen, zoals een vergelijking met andere elementen, zodat de betrokkene voor deze vennootschap niet of niet meer identificeerbaar is.

Deze uitlegging vindt steun in overweging 16 van verordening 2018/1725, waarin, na de vermelding in de eerste volzin dat ‘[d]e beginselen van gegevensbescherming […] voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon [moeten] gelden’, in de tweede volzin staat te lezen dat ‘[g]epseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, […] als gegevens over een identificeerbare natuurlijke persoon [moeten] worden beschouwd’.

Naar aanleiding van deze aanwijzingen betreffende de persoonsgegevens en de gepseudonimiseerde gegevens preciseert de derde volzin van die overweging immers dat, om te bepalen of een natuurlijke persoon identificeerbaar is, rekening moet worden gehouden met ‘alle middelen waarvan redelijkerwijs te verwachten valt’ dat zij door de verwerkingsverantwoordelijke of door ‘een andere persoon’ zullen worden gebruikt om de natuurlijke persoon ‘direct of indirect’ te identificeren. Voorts wordt in de vierde volzin van deze overweging verklaard dat, om uit te maken of redelijkerwijs te verwachten valt dat middelen zullen worden gebruikt om de natuurlijke persoon te identificeren, rekening moet worden gehouden met ‘alle objectieve factoren, zoals de kosten […] en de tijd die nodig zijn voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen’.

Zoals de advocaat-generaal in punt 51 van zijn conclusie in wezen heeft opgemerkt, zou aan deze preciseringen betreffende de beoordeling of de betrokkene al dan niet identificeerbaar is, elk nuttig effect worden ontnomen indien gepseudonimiseerde gegevens voor de toepassing van verordening 2018/1725 in alle gevallen en voor eenieder als persoonsgegevens zouden moeten worden beschouwd.

In dit verband zij eraan herinnerd dat het Hof zich met betrekking tot een persbericht dat een aantal aanwijzingen bevatte over een persoon zonder deze bij naam te noemen, in zijn arrest van 7 maart 2024, OC/Commissie (C-479/22 P, EU:C:2024:215, punten 52–64), niet heeft beperkt tot de vaststelling dat het orgaan van de Unie dat dit persbericht had gepubliceerd, beschikte over alle informatie aan de hand waarvan die persoon kon worden geïdentificeerd, maar heeft onderzocht of de vermeldingen in dat persbericht het betrokken publiek redelijkerwijs in staat stelden om die persoon te identificeren, met name aan de hand van een combinatie van die vermeldingen met op internet beschikbare informatie.

Bovendien heeft het Hof reeds geoordeeld dat niet redelijkerwijs te verwachten valt dat een middel zal worden gebruikt om de betrokkene te identificeren wanneer het gevaar voor identificatie in werkelijkheid onbeduidend lijkt, aangezien de identificatie van die persoon bij wet verboden of in de praktijk ondoenlijk is, bijvoorbeeld omdat zij — gelet op de vereiste tijd, kosten en mankracht — een excessieve inspanning vergt (zie in die zin arrest van 7 maart 2024, OC/Commissie, C-479/22 P, EU:C:2024:215, punt 51 en aldaar aangehaalde rechtspraak). Deze rechtspraak bevestigt de uitlegging dat het bestaan van aanvullende gegevens aan de hand waarvan de betrokkene kan worden geïdentificeerd, op zich niet impliceert dat gepseudonimiseerde gegevens voor de toepassing van verordening 2018/1725 in alle gevallen en voor eenieder als persoonsgegevens moeten worden beschouwd.

In dezelfde lijn heeft het Hof met name in de arresten van 19 oktober 2016, Breyer (C-582/14, EU:C:2016:779, punten 44, 47 en 48), en 7 maart 2024, IAB Europe (C-604/22, EU:C:2024:214, punten 43 en 48), in wezen geoordeeld dat door de verwerkingsverantwoordelijke verzamelde en bewaarde gegevens die op zich niet persoonsgebonden waren, toch verband hielden met een identificeerbare persoon, aangezien de verwerkingsverantwoordelijke over wettige middelen beschikte om van een ander de aanvullende gegevens te verkrijgen waarmee deze persoon kon worden geïdentificeerd. In dergelijke omstandigheden kon het feit dat verschillende personen de informatie in handen hadden waarmee de betrokkene kon worden geïdentificeerd, diens identificatie immers niet daadwerkelijk op zodanige wijze verhinderen, dat hij voor de verwerkingsverantwoordelijke niet identificeerbaar was.

Volgens de rechtspraak die voortvloeit uit het arrest van 9 november 2023, Gesamtverband Autoteile-Handel (Toegang tot voertuiginformatie) (C-319/22, EU:C:2023:837, punten 46 en 49), kunnen gegevens die op zich onpersoonlijk zijn, een ‘persoonlijk’ karakter verkrijgen wanneer de verwerkingsverantwoordelijke ze ter beschikking stelt aan andere personen die beschikken over middelen waarvan redelijkerwijs te verwachten valt dat de betrokkene daarmee kan worden geïdentificeerd. In het bijzonder blijkt uit laatstgenoemd arrest dat die gegevens — in de context van een dergelijke terbeschikkingstelling — zowel voor deze personen als indirect voor de verwerkingsverantwoordelijke persoonsgegevens vormen.

Gelet op de in het vorige punt in herinnering gebrachte rechtspraak betoogt de EDPS dus ten onrechte dat de omstandigheid dat gepseudonimiseerde gegevens voor de personen aan wie de verwerkingsverantwoordelijke dergelijke gegevens doorgeeft in voorkomend geval geen persoonlijk karakter hebben, ertoe zou kunnen leiden dat deze gegevens ten onrechte worden onttrokken aan de werkingssfeer van de Uniewetgeving inzake de bescherming van persoonsgegevens. Volgens deze rechtspraak heeft die omstandigheid immers geen invloed op de beoordeling van het persoonlijke karakter van die gegevens in de context van met name een eventuele latere doorgifte aan derden. Voor zover niet is uitgesloten dat deze derden redelijkerwijs in staat zullen zijn om met middelen, zoals een vergelijking met andere gegevens waarover zij beschikken, de gepseudonimiseerde gegevens te koppelen aan de betrokkene, moet deze persoon dus worden geacht identificeerbaar te zijn, zowel wat de doorgifte als wat de verdere verwerking van die gegevens door die derden betreft. In dergelijke omstandigheden moeten gepseudonimiseerde gegevens als persoonsgegevens worden beschouwd.

Hieruit volgt dat, anders dan de EDPS stelt, gepseudonimiseerde gegevens niet in alle gevallen en voor eenieder mogen worden beschouwd als persoonsgegevens voor de toepassing van verordening 2018/1725, aangezien pseudonimisering, afhankelijk van de omstandigheden van het geval, daadwerkelijk kan verhinderen dat andere personen dan de verwerkingsverantwoordelijke de betrokkene op zodanige wijze identificeren dat deze betrokkene voor hen niet of niet meer identificeerbaar is.

Aan deze uitlegging wordt niet afgedaan door de door de EDPS aangevoerde omstandigheid dat de vierde volzin van overweging 16 van verordening 2018/1725 betrekking heeft op de verwerkingsverantwoordelijke of ‘een andere persoon’. Uit de bewoordingen zelf van deze zin, die in punt 79 van het onderhavige arrest in herinnering zijn gebracht, volgt immers dat deze slechts verwijst naar personen die beschikken over of toegang hebben tot middelen waarvan redelijkerwijs te verwachten valt dat zij worden gebruikt om de betrokkene te identificeren. Zoals in de punten 75 tot en met 77 van het onderhavige arrest is opgemerkt, kan pseudonimisering, afhankelijk van de omstandigheden van het geval, daadwerkelijk verhinderen dat andere personen dan de verwerkingsverantwoordelijke de betrokkene op zodanig wijze identificeren dat deze betrokkene voor hen niet of niet meer identificeerbaar is.

Met betrekking tot het argument van de EDPS dat de doelstelling betreft om een hoog niveau van bescherming van persoonsgegevens te waarborgen, blijkt uit de bewoordingen van artikel 3, punt 1, van verordening 2018/1725 weliswaar dat de Uniewetgever het begrip ‘persoonsgegevens’ ruim wil uitleggen, maar dit begrip is niet onbeperkt, aangezien deze bepaling met name vereist dat de betrokkene geïdentificeerd of identificeerbaar is.

Zoals de advocaat-generaal in punt 58 van zijn conclusie heeft opgemerkt, bevat verordening 2018/1725 met name verplichtingen, zoals de in artikel 15 van die verordening neergelegde verplichting om informatie te verstrekken aan de betrokkene, die alleen kunnen worden nagekomen als de betrokkene wordt geïdentificeerd. Dergelijke verplichtingen kunnen echter niet worden opgelegd aan een entiteit die helemaal niet tot die identificatie in staat is.

Hieruit volgt dat de eerste grief van het tweede onderdeel van het eerste middel ongegrond moet worden verklaard.

Met de tweede grief van het tweede onderdeel van het eerste middel voert de EDPS aan dat het Gerecht is voorbijgegaan aan de rechtspraak die voortvloeit uit het arrest van 19 oktober 2016, Breyer (C-582/14, EU:C:2016:779).

In de eerste plaats is het Gerecht voorbijgegaan aan het objectieve karakter van de voorwaarde dat de betrokkene ‘identificeerbaar’ is, door in de punten 97, 99 en 100 van het bestreden arrest met name te oordelen dat de EDPS had moeten onderzoeken of de aan Deloitte toegezonden opmerkingen vanuit het oogpunt van Deloitte persoonsgegevens vormden. Volgens de EDPS vloeit uit de punten 47 en 48 van het arrest van 19 oktober 2016, Breyer (C-582/14, EU:C:2016:779), immers voort dat het enkele bestaan van juridische mogelijkheden om de betrokkene te identificeren, volstaat om vast te stellen dat deze persoon identificeerbaar is. In casu was de GAR in staat om de betrokken personen te identificeren, een omstandigheid waarmee het Gerecht onvoldoende rekening heeft gehouden bij de toepassing van de uit dat arrest voortvloeiende rechtspraak.

In de tweede plaats betoogt de EDPS dat in dat arrest de vraag of de betrokkene al dan niet kan worden geïdentificeerd, is beoordeeld vanuit het oogpunt van de verwerkingsverantwoordelijke in een situatie zonder enige band tussen deze verantwoordelijke en de entiteiten die in het bezit waren van de aanvullende gegevens waarmee die persoon kan worden geïdentificeerd. In casu is Deloitte daarentegen niet de verwerkingsverantwoordelijke en is zij bovendien gebonden door een overeenkomst met de GAR. Gelet op deze verschillen is de EDPS van mening dat hij niet verplicht was een volledige beoordeling te verrichten van de middelen waarvan redelijkerwijs te verwachten viel dat Deloitte daarmee de betrokken personen kon identificeren.

Zelfs al was de EDPS verplicht geweest te beoordelen of Deloitte in staat was om de auteurs van de haar toegezonden opmerkingen te identificeren, dan nog weerhield volgens de EDPS niets Deloitte ervan om die identificatie te verrichten.

De GAR, daarin ondersteund door de Commissie, verzet zich tegen dit argument.

In de eerste plaats heeft het Gerecht zich met name in de punten 96, 97 en 100 van het bestreden arrest terecht gebaseerd op een benadering volgens welke de identificeerbaarheid van de betrokkene moet worden onderzocht met betrekking tot elke betrokken persoon en elke betrokken verwerkingsverantwoordelijke die de relevante informatie verwerkt. In de context van de informatieplicht van artikel 15, lid 1, onder d), van verordening 2018/1725 moet dit onderzoek worden verricht vanuit het perspectief van de ontvanger van de betrokken informatie.

In de tweede plaats betoogt de GAR dat het argument inzake de vermeende verschillen tussen de onderhavige zaak en de zaak die heeft geleid tot het arrest van 19 oktober 2016, Breyer (C-582/14, EU:C:2016:779), niet-ontvankelijk is. Volgens hem betwist dit argument de feitelijke vaststellingen van het Gerecht in de punten 94 en 95 van het bestreden arrest, volgens welke Deloitte geen toegang had tot de identificatiegegevens die nodig waren om de klagers te identificeren.

Met name in de punten 97 tot en met 100 van het bestreden arrest heeft het Gerecht in wezen geoordeeld dat de EDPS overeenkomstig de rechtspraak die voortvloeit uit het arrest van 19 oktober 2016, Breyer (C-582/14, EU:C:2016:779), had moeten onderzoeken of de aan Deloitte toegezonden opmerkingen vanuit het oogpunt van Deloitte persoonsgegevens vormden. Om tot die vaststelling te komen, heeft het Gerecht met name opgemerkt dat de in het litigieuze besluit vastgestelde inbreuk op artikel 15, lid 1, onder d), van verordening 2018/1725 betrekking had op de overdracht door de GAR van deze opmerkingen aan Deloitte en niet louter op het feit dat deze opmerkingen bij de GAR berustten.

Vooraf zij eraan herinnerd dat artikel 3, punt 1, van verordening 2018/1725 niet uitdrukkelijk preciseert welk perspectief relevant is om te beoordelen of de betrokkene identificeerbaar is, terwijl overweging 16 van deze verordening zonder onderscheid verwijst naar de ‘verwerkingsverantwoordelijke’ of ‘een andere persoon’. Bovendien is het vaste rechtspraak dat het voor de kwalificatie van een gegeven als ‘persoonsgegeven’ niet vereist is dat alle informatie aan de hand waarvan de betrokkene kan worden geïdentificeerd, bij een en dezelfde persoon berust (zie in die zin arresten van 19 oktober 2016, Breyer, C-582/14, EU:C:2016:779, punt 43, en 7 maart 2024, OC/Commissie, C-479/22 P, EU:C:2024:215, punt 48).

Volgens de rechtspraak die met name voortvloeit uit het arrest van 19 oktober 2016, Breyer (C-582/14, EU:C:2016:779), die in de punten 81 tot en met 84 van het onderhavige arrest in herinnering is gebracht, hangt het relevante perspectief voor de beoordeling of de betrokkene kan worden geïdentificeerd in wezen af van de omstandigheden die de gegevensverwerking in elk afzonderlijk geval kenmerken.

In casu zij eraan herinnerd dat de EDPS in het litigieuze besluit heeft vastgesteld dat de GAR, door Deloitte niet als potentiële ontvanger van de opmerkingen te vermelden in de privacyverklaring die op het moment van de verzameling ervan was ingediend, zijn uit artikel 15, lid 1, onder d), van verordening 2018/1725 voortvloeiende informatieplicht niet was nagekomen.

Artikel 15, lid 1, van deze verordening bepaalt welke informatie de verwerkingsverantwoordelijke aan de betrokkene moet verstrekken wanneer persoonsgegevens bij hem worden verzameld, en preciseert dat deze informatie aan de betrokkene moet worden verstrekt ‘bij de verkrijging van de persoonsgegevens’. Uit de bewoordingen van deze bepaling volgt dat deze informatie onmiddellijk door de verwerkingsverantwoordelijke moet worden verstrekt, dat wil zeggen op het moment dat deze gegevens worden verzameld (zie naar analogie arrest van 29 juli 2019, Fashion ID, C-40/17, EU:C:2019:629, punt 104 en aldaar aangehaalde rechtspraak).

Wat meer in het bijzonder de in artikel 15, lid 1, onder d), van die verordening bedoelde informatie over de eventuele ontvangers van persoonsgegevens betreft, vormt één van meerdere soorten informatie die moet worden verstrekt bij het verzamelen van de gegevens bij de betrokkene.

Artikel 14, lid 1, van verordening 2018/1725 bepaalt dat de verwerkingsverantwoordelijke passende maatregelen neemt om er met name voor te zorgen dat de in het bijzonder in artikel 15 van deze verordening bedoelde informatie in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm aan de betrokkene wordt verstrekt en in duidelijke en eenvoudige taal is geformuleerd, om te waarborgen dat de betrokkene de informatie die hem wordt verstrekt volledig kan begrijpen [zie naar analogie arresten van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C-487/21, EU:C:2023:369, punt 38, en 11 juli 2024, Meta Platforms Ireland (Representatieve vordering), C-757/22, EU:C:2024:598, punten 55 en 56].

Het belang van de naleving van een dergelijke informatieplicht vindt steun in overweging 35 van verordening 2018/1725, waarin in de eerste en de tweede volzin staat te lezen dat overeenkomstig de beginselen van behoorlijke en transparante verwerking de betrokkene op de hoogte moet worden gesteld van het feit dat verwerking plaatsvindt en van de doeleinden daarvan, waarbij wordt benadrukt dat de verwerkingsverantwoordelijke ook alle nadere informatie dient te verstrekken die noodzakelijk is om behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt, zoals is bepaald in artikel 15, lid 2, van die verordening [zie naar analogie arrest van 11 juli 2024, Meta Platforms Ireland (Representatieve vordering), C-757/22, EU:C:2024:598, punt 57 en aldaar aangehaalde rechtspraak].

Wanneer dergelijke gegevens bij de betrokkene worden verzameld op basis van diens toestemming — zoals in casu in het kader van de procedure betreffende het recht om te worden gehoord — hangt de geldigheid van de toestemming van de betrokkene dus onder meer af van de vraag of hij vooraf de informatie heeft verkregen over alle omstandigheden van de verwerking van de betrokken gegevens waarop hij krachtens artikel 15 van verordening 2018/1725 recht had en die hem in staat stellen met volledige kennis van zaken toestemming te geven [zie naar analogie arrest van 11 juli 2024, Meta Platforms Ireland (Representatieve vordering), C-757/22, EU:C:2024:598, punt 60].

Wat voorts het geval betreft dat de betrokkene verplicht is om persoonsgegevens aan de verwerkingsverantwoordelijke te verstrekken, preciseert overweging 35 van deze verordening in de vierde volzin dat de betrokkene moet worden geïnformeerd of hij verplicht is om die persoonsgegevens te verstrekken en wat voor hem de gevolgen zijn indien hij deze gegevens niet verstrekt, hetgeen het belang bevestigt van de informatie die volgens artikel 15 van die verordening is vereist op het moment zelf waarop de gegevens bij de betrokkene worden verzameld.

In die omstandigheden blijkt dat de verplichting om de betrokkene — op het moment waarop de met hem verband houdende persoonsgegevens worden verzameld — informatie te verstrekken over de eventuele ontvangers van die gegevens, met name tot doel heeft die persoon in staat te stellen met volledige kennis van zaken te beslissen of hij zijn bij hem verzamelde persoonsgegevens verstrekt of juist weigert te verstrekken.

Hieraan moet worden toegevoegd dat, zoals de Commissie ter terechtzitting in wezen heeft betoogd, de informatie over de eventuele ontvangers zeker ook essentieel is om de betrokkene in staat te stellen zijn rechten later tegen die ontvangers te verdedigen. De verplichting om deze informatie te verstrekken bij het verzamelen van de persoonsgegevens waarborgt echter met name dat deze gegevens door de verwerkingsverantwoordelijke niet tegen de wil van de betrokkene worden verzameld of zelfs tegen zijn wil aan derden worden doorgegeven.

Hieruit volgt dat, zoals de advocaat-generaal in punt 69 van zijn conclusie heeft opgemerkt, de informatieplicht van artikel 15, lid 1, onder d), van verordening 2018/1725 valt binnen de rechtsverhouding die bestaat tussen de betrokkene en de verwerkingsverantwoordelijke en dus betrekking heeft op de informatie over die betrokkene zoals die aan die verantwoordelijke is verstrekt, dus vóór elke eventuele doorgifte aan een derde.

Bijgevolg moet worden geoordeeld dat voor de toepassing van de informatieverplichting van artikel 15, lid 1, onder d), van verordening 2018/1725 de identificeerbaarheid van de betrokkene moet worden beoordeeld op het moment waarop de gegevens worden verzameld en vanuit het oogpunt van de verwerkingsverantwoordelijke.

Hieruit volgt dat, zoals de advocaat-generaal in punt 79 van zijn conclusie in wezen heeft opgemerkt, de op de GAR rustende informatieplicht in het onderhavige geval van toepassing was vóór de doorgifte van de betrokken opmerkingen en ongeacht of die opmerkingen vanuit het oogpunt van Deloitte na de eventuele pseudonimisering ervan persoonsgegevens waren.

Aan deze uitlegging wordt niet afgedaan door het argument van de GAR dat de bewoordingen van artikel 15, lid 1, onder d), van verordening 2018/1725 verwijzen naar ‘ontvangers […] van de persoonsgegevens’. Zoals blijkt uit de punten 102 tot en met 108 van het onderhavige arrest, regelt deze bepaling immers de informatieplicht die op de verwerkingsverantwoordelijke rust bij het verzamelen van dergelijke gegevens. De vraag of de verwerkingsverantwoordelijke op dat moment aan zijn informatieverplichting heeft voldaan, kan echter niet afhangen van de mogelijkheden waarover een eventuele ontvanger in voorkomend geval beschikt voor de identificatie van de betrokkene na een latere doorgifte van de betrokken gegevens.

Zoals de advocaat-generaal in punt 77 van zijn conclusie in wezen heeft opgemerkt, heeft het argument van de GAR dat bij het toezicht op de naleving van deze informatieverplichting moet worden uitgegaan van het standpunt van de ontvanger, tot gevolg dat dit toezicht tot een later moment wordt uitgesteld. Aangezien dat toezicht noodzakelijkerwijs betrekking heeft op persoonsgegevens die reeds aan de ontvanger zijn doorgegeven, gaat dit argument ook voorbij aan het doel van de informatieverplichting, die intrinsiek verbonden is met de relatie tussen de verwerkingsverantwoordelijke en de betrokkene.

Bijgevolg heeft het Gerecht blijk gegeven van een onjuiste rechtsopvatting door in de punten 97, 98, 100, 101 en 103 tot en met 105 van het bestreden arrest vast te stellen dat de EDPS ter beoordeling of de GAR had voldaan aan zijn informatieverplichting van artikel 15, lid 1, onder d), van verordening 2018/1725, had moeten onderzoeken of de aan Deloitte toegezonden opmerkingen vanuit het oogpunt van Deloitte persoonsgegevens vormden.

Hieruit volgt dat de tweede grief van het tweede onderdeel van het eerste middel moet worden aanvaard zonder dat de in de punten 93 en 94 van het onderhavige arrest samengevatte argumenten van de EDPS hoeven te worden onderzocht.