Stan faktyczny
RW zwrócił się do Österreichische Post AG (dalej: Post) na podstawie art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), w celu uzyskania dostępu do dotyczących go danych osobowych przechowywanych przez Post w tej chwili lub w przeszłości, a w przypadku ujawnienia tych danych osobom trzecim – tożsamości tych odbiorców. Post ograniczyła się do wskazania, iż wykorzystuje dane w zakresie zgodnym z prawem, i nie podała RW tożsamości konkretnych odbiorców danych.
Rozpoznający tę sprawę austriacki SN powziął wątpliwości co do wykładni art. 15 ust. 1 lit. c) RODO, ponieważ jego treść nie pozwala ustalić, czy przyznaje on osobie, której dane dotyczą, prawo dostępu do informacji dotyczących konkretnych odbiorców ujawnionych danych, czy też administrator danych dysponuje uznaniem co do sposobu, w jaki zamierza uwzględnić wniosek o udzielenie dostępu do informacji o odbiorcach.
Stanowisko TSUE
Przepis art. 15 ust. 1 lit. c) RODO stanowi, iż osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane dane osobowe dotyczą właśnie jej, a o ile ma to miejsce, jest uprawniona do uzyskania dostępu do informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe zostały lub zostaną ujawnione. Trybunał wskazał, iż pojęcia „odbiorcy” i „kategorie odbiorców”, zawarte w tym przepisie, są użyte jedno po drugim, bez możliwości wywnioskowania pierwszeństwa między nimi. W ocenie TSUE treść art. 15 ust. 1 lit. c) RODO nie pozwala ustalić w sposób jednoznaczny, czy osoba, której dane dotyczą, w przypadku gdy dotyczące jej dane osobowe zostały lub zostaną ujawnione, ma prawo do uzyskania informacji o konkretnej tożsamości odbiorców tych danych.
Odnosząc się do kontekstu, w jaki wpisuje się art. 15 ust. 1 lit. c) RODO, TSUE przypomniał, iż motyw 63 tego rozporządzenia przewiduje, iż osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, w szczególności dotyczących odbiorców tych danych osobowych, i nie precyzuje, iż to prawo może być ograniczone wyłącznie do kategorii odbiorców. Ponadto, aby przestrzegane było prawo dostępu, każde przetwarzanie danych osobowych musi być zgodne z zasadami określonymi w art. 5 RODO (wyrok TSUE z 16.1.2019 r., Deutsche Post, C-496/17, pkt 57, Legalis). Wśród tych zasad znajduje się zasada przejrzystości (art. 5 ust. 1 lit. a) RODO), która oznacza (jak wynika z motywu 39 tego rozporządzenia), iż osoba, której dane dotyczą, posiada informacje o sposobie przetwarzania jej danych osobowych, oraz wymaga, aby te informacje były łatwo dostępne i zrozumiałe.
Trybunał orzekł już, iż korzystanie z omawianego prawa dostępu powinno pozwolić osobie, której dane dotyczą, nie tylko na sprawdzenie, czy dotyczące jej dane są prawidłowe, ale także czy są przetwarzane zgodnie z prawem (wyrok TSUE z 20.12.2017 r., Nowak, C-434/16, pkt 57, Legalis), a w szczególności czy zostały one ujawnione upoważnionym odbiorcom (wyrok TSUE z 7.5.2009 r., Rijkeboer, C-553/07, pkt 49, Legalis). Przykładowo prawo dostępu jest niezbędne, aby umożliwić osobie, której dane dotyczą, skorzystanie w razie potrzeby z jej prawa do sprostowania, prawa do usunięcia danych (prawa do bycia zapomnianym) lub prawa do ograniczenia przetwarzania, które zostały jej przyznane, odpowiednio, w art. 16, 17 i 18 RODO (wyrok TSUE z 17.7.2014 r., YS i in., C-141/12 i C-372/12, pkt 44, Legalis, sprawy połączone).
Trybunał stwierdził, iż powyższą wykładnię potwierdza również treść art. 19 RODO, który przewiduje w zdaniu pierwszym, iż administrator danych co do zasady informuje każdego odbiorcę, któremu dane osobowe zostały ujawnione, o każdym sprostowaniu lub usunięciu danych osobowych lub o jakimkolwiek ograniczeniu przetwarzania, a w zdaniu drugim – iż ten administrator informuje o tych odbiorcach osobę, której dane dotyczą, jeżeli tylko tego zażąda. Art. 19 zd. drugie RODO wyraźnie przyznaje osobie, której dane dotyczą, prawo do bycia informowaną o konkretnych odbiorcach dotyczących jej danych przez administratora danych w ramach ciążącego na tym ostatnim obowiązku informowania wszystkich odbiorców o wykonywaniu praw przysługujących tej osobie na podstawie art. 16, art. 17 ust. 1 i art. 18 RODO. W ocenie TSUE z powyższej analizy systemowej wynika, iż art. 15 ust. 1 lit. c) RODO stanowi jeden z przepisów mających gwarantować przejrzystość sposobów przetwarzania danych osobowych względem osoby, której dane dotyczą, i umożliwia tej osobie, jak wskazał rzecznik generalny w pkt. 33 opinii, wykonywanie uprawnień przewidzianych w szczególności w art. 16–19, 21, 79 i 82 RODO. W związku z tym TSUE uznał, iż informacje przekazane osobie, której dane dotyczą, na podstawie prawa dostępu przewidzianego w art. 15 ust. 1 lit. c) RODO powinny być możliwie najbardziej dokładne.
Trybunał wskazał, iż RODO dąży w szczególności do zapewnienia wysokiego poziomu ochrony osób fizycznych w Unii Europejskiej. Ogólne ramy prawne stworzone przez RODO wprowadzają w życie wymogi wynikające z podstawowego prawa do ochrony danych osobowych, chronionego przez art. 8 KPP, a w szczególności wymogi wyraźnie przewidziane w art. 8 ust. 2 KPP (wyrok TSUE z 9.3.2017 r., Manni, C-398/15, pkt 40, Legalis). W ocenie TSUE ten cel ten potwierdza przedstawioną powyżej wykładnię art. 15 ust. 1 RODO. W związku z tym z celu, do którego dąży RODO, wynika również, iż osoba, której dane dotyczą, ma prawo do uzyskania od administratora danych informacji o konkretnych odbiorcach, którym zostały lub zostaną ujawnione dotyczące jej dane osobowe.
Trybunał podkreślił, iż prawo do ochrony danych osobowych nie jest jednak prawem bezwzględnym. Prawo to należy bowiem postrzegać w świetle jego funkcji społecznej i wyważyć z innymi prawami podstawowymi, zgodnie z zasadą proporcjonalności (wyroku TSUE z 16.7.2020 r., Facebook Ireland i Schrems, C-311/18, pkt 172, Legalis). W związku z tym TSUE przyjął, iż w szczególnych okolicznościach nie jest możliwe dostarczenie informacji dotyczących konkretnych odbiorców.
Trybunał przypomniał, iż zgodnie z art. 12 ust. 5 lit. b) RODO administrator danych, zgodnie z zasadą odpowiedzialności, może odmówić uwzględnienia wniosków osoby, której dotyczą dane, o ile wnioski te są ewidentnie nieuzasadnione lub nadmierne. Przy czym na tym samym administratorze danych spoczywa obowiązek wykazania, iż dane wnioski mają ewidentnie nieuzasadniony lub nadmierny charakter. W niniejszej sprawie Post oddaliła wniosek złożony przez RW na podstawie art. 15 ust. 1 RODO, w którym zażądał on, aby Post podała mu tożsamość odbiorców, którym ujawniła dotyczące go dane osobowe. Trybunał wskazał, iż do Sądu odsyłającego będzie należało zbadanie, czy, w rozpatrywanych okolicznościach Post wykazała, iż ten wniosek miał ewidentnie nieuzasadniony lub nadmierny charakter.
Reasumując, TSUE orzekł, iż art. 15 ust. 1 lit. c) RODO należy interpretować w ten sposób, iż przewidziane w tym przepisie prawo dostępu osoby, której dane dotyczą, do dotyczących jej danych osobowych oznacza, w przypadku gdy te dane zostały lub zostaną ujawnione odbiorcom, iż na administratorze danych ciąży obowiązek podania tej osobie dokładnej tożsamości tych odbiorców, chyba iż nie jest możliwe zidentyfikowanie tych odbiorców lub ten administrator danych wykaże, iż wnioski o uzyskanie dostępu złożone przez osobę, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne w rozumieniu art. 12 ust. 5 RODO, w których to przypadkach administrator ten może wskazać tej osobie wyłącznie kategorie odnośnych odbiorców.
Komentarz
W niniejszym wyroku Trybunał dokonał wykładni art. 15 ust. 1 lit. c) RODO w odniesieniu do zakresu przewidzianego w tym przepisie prawa osoby, której dane dotyczą, do uzyskania od administratora informacji dotyczących odbiorców lub kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione.
Z prezentowanego wyroku wynika, iż o ile osoba, której dane osobowe są przetwarzane, chce uzyskać od administratora informacje o osobach trzecich, którym te dane są ujawniane, jej prawo dostępu do danych oznacza, iż powinna ona otrzymać informacje o konkretnych odbiorcach, którym ujawniono dotyczące jej dane osobowe. Tym samym prawo dostępu oznacza, iż osoba, której dane dotyczą, może uzyskać od administratora danych informacje o konkretnych odbiorcach, którym dane zostały ujawnione, lub, alternatywnie, zdecydować się na ograniczenie się do zażądania informacji dotyczących kategorii odbiorców. Zgodnie z wykładnią TSUE w art. 15 RODO przewidziano rzeczywiste prawo dostępu na rzecz osoby, której dane dotyczą, w przeciwieństwie np. do art. 13 i 14 RODO.
Trybunał uznał, iż jedynie wyjątkowo to prawo może zostać ograniczone do informacji dotyczących tylko kategorii odbiorców. Dotyczy to przypadku, w którym nie jest możliwe podanie do wiadomości tożsamości konkretnych odbiorców, w szczególności gdy nie są oni jeszcze znani, bądź też wyłączeń unormowanych w art. 12 ust. 5 lit. b) RODO.