W sprawie C73/07 mającej za przedmiot wniosek o wydanie, na podstawie art. 234 WE, orzeczenia w trybie prejudycjalnym, złożony przez Korkein hallintooikeus (Finlandia) postanowieniem z dnia 8 lutego 2007 r., które wpłynęło do Trybunału w dniu 12 lutego 2007 r., w postępowaniu ietosuojavaltuutettu
przeciwko
Satakunnan Markkinapörssi Oy, Satamedia Oy,
TRYBUNAŁ (wielka izba), w składzie:
V. Skouris, prezes, P. Jann, C.W.A. Timmermans, A. Rosas, K. Lenaerts i A. Ó Caoimh, prezesi izb, P. Kris, E. Juhász, G. Arestis, A. Borg Barthet, J. Klučka, U. Lhmus i E. Levits (sprawozdawca), sędziowie,
rzecznik generalny: J. Kokott,
sekretarz: C. Strömholm, administrator,
uwzględniając procedurę pisemną i po przeprowadzeniu rozprawy w dniu 12 lutego 2008 r.,
rozważywszy uwagi przedstawione:
w imieniu Satakunnan Markkinapörssi Oy oraz Satamedia Oy przez P. Vainio, lakimies,
w imieniu rządu fińskiego przez J. Heliskoskiego, działającego w charakterze pełnomocnika,
w imieniu rządu estońskiego przez L. Uibo, działającego w charakterze pełnomocnika,
w imieniu rządu portugalskiego przez L.I. Fernandesa oraz C. Vieirę Guerrę, działających w charakterze pełnomocników,
w imieniu rządu szwedzkiego przez A. Falk oraz K. Petkovską, działające w charakterze pełnomocników,
w imieniu Komisji Wspólnot Europejskich przez C. Dockseya oraz P. Aalto, działających w charakterze pełnomocników,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 8 maja 2008 r. wydaje następujący wyrok
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31, zwanej dalej „dyrektywą”).
2 Wniosek ten został przedłożony w ramach sporu pomiędzy tietosuojavaltuutettu (inspektorem ochrony danych osobowych, zwanym dalej inspektorem) a tietosuojalautakunta (komisją ds. ochrony danych) w przedmiocie działań związanych z przetwarzaniem danych osobowych dokonywanych przez spółki Satakunnan Markkinapörssi Oy (zwaną dalej Markkinapörssi) i Satamedia Oy (zwaną dalej Satamedia).
Ramy prawne
Uregulowania wspólnotowe
3 Jak wynika z art. 1 ust. 1 dyrektywy, jej celem jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do prywatności w odniesieniu do przetwarzania danych osobowych.
4 Artykuł 1 ust. 2 dyrektywy stanowi:
„Państwa członkowskie nie będą ograniczać ani zakazywać swobodnego przepływu danych osobowych między państwami członkowskimi ze względów związanych z ochroną przewidzianą w ust. 1”.
5 Artykuł 2 dyrektywy, zatytułowany „Definicje”, stanowi:
„Do celów niniejszej dyrektywy:
a) »dane osobowe« oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (»osoby, której dane dotyczą«); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość;
b) »przetwarzanie danych osobowych« (»przetwarzanie«) oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie;
c) »zbiór danych« (»zbiór«) oznacza każdy uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów, scentralizowanych, zdecentralizowanych lub rozproszonych funkcjonalnie lub geograficznie;
[…]”.
6 Artykuł 3 dyrektywy definiuje zakres jej stosowania w następujący sposób:
„Niniejsza dyrektywa stosuje się do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:
– w ramach działalności wykraczającej poza zakres prawa Wspólnoty, jak na przykład dane, o których stanowi tytuł V i VI traktatu o Unii Europejskiej, a w żadnym razie do działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (łącznie z dobrą kondycją gospodarczą państwa, gdy działalność ta dotyczy spraw związanych z bezpieczeństwem państwa) oraz działalności państwa w obszarach prawa karnego,
– przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze”.
7 Stosunek pomiędzy ochroną danych osobowych a wolnością wypowiedzi jest uregulowany w art. 9 dyrektywy zatytułowanym „Przetwarzanie danych osobowych i wolność wypowiedzi” w następujący sposób:
„Państwa członkowskie wprowadzają możliwość wyłączenia lub odstąpienia od przepisów niniejszego rozdziału, rozdziału IV i VI w przypadku przetwarzania danych osobowych wyłącznie w celach dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego jedynie wówczas, gdy jest to konieczne dla pogodzenia prawa do zachowania prywatności z przepisami dotyczącymi wolności wypowiedzi”.
8 W tym zakresie motyw trzydziesty siódmy dyrektywy ma następujące brzmienie:
„(37) Przetwarzanie danych osobowych dla potrzeb dziennikarstwa lub wypowiedzi o charakterze literackim lub artystycznym, zwłaszcza w dziedzinie techniki audiowizualnej, powinno kwalifikować się do zwolnienia z wymagań niektórych przepisów niniejszej dyrektywy, o ile jest to konieczne, aby pogodzić prawa podstawowe osób fizycznych z wolnością informacji, a zwłaszcza prawem do uzyskiwania i udzielania informacji, co gwarantuje w szczególności art. 10 europejskiej konwencji o ochronie praw człowieka i podstawowych wolności; państwa członkowskie powinny w związku z tym ustalić zwolnienia i odstępstwa konieczne dla zapewnienia równowagi pomiędzy prawami podstawowymi odnoszącymi się do ogólnych środków w sprawie legalności przetwarzania danych, środków w sprawie przesyłania danych do państw trzecich i kompetencjami organów nadzorczych; nie powinno to jednak powodować wprowadzenia przez państwa członkowskie uregulowań stanowiących odstępstwo od obowiązku zapewnienia bezpieczeństwa przetwarzania danych; przynajmniej organ nadzorczy odpowiedzialny za tę dziedzinę powinien być również wyposażony w niektóre uprawnienia ex post, np. publikowania regularnych sprawozdań lub kierowania spraw do władz sądowych”.
9 Artykuł 13 dyrektywy zatytułowany „Zwolnienia i ograniczenia” stanowi:
„1. Państwo członkowskie może przyjąć środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków, przewidzianego w art. 6 ust. 1, art. 10, art. 11 ust. 1, art. 12 oraz 21, kiedy ograniczenie takie stanowi środek konieczny dla zabezpieczenia:
a) bezpieczeństwa narodowego;
[…]”.
10 Artykuł 17 dyrektywy zatytułowany „Bezpieczeństwo przetwarzania danych” stanowi:
„1. Państwa członkowskie zapewniają, aby administrator danych wprowadził odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed przypadkowym lub nielegalnym zniszczeniem lub przypadkową utratą, zmianą, niedozwolonym ujawnieniem lub dostępem, szczególnie wówczas gdy przetwarzanie danych obejmuje transmisję danych w sieci, jak również przed wszelkimi innymi nielegalnymi formami przetwarzania.
Uwzględniając stan wiedzy w tej dziedzinie oraz koszt realizacji, przyjęte zostaną takie środki, które zapewnią poziom bezpieczeństwa odpowiedni do zagrożeń wynikających z przetwarzania danych oraz charakteru danych objętych ochroną.
2. Państwa członkowskie zobowiązują administratora danych, w przypadku przetwarzania danych w jego imieniu, do wybrania przetwarzającego o wystarczających gwarancjach odnośnie do technicznych środków bezpieczeństwa oraz rozwiązań organizacyjnych, regulujących przetwarzanie danych, oraz zapewnienia stosowania tych środków i rozwiązań.
[…]”.
Uregulowania krajowe
11 Artykuł 10 ust. 1 ustawy zasadniczej [perustuslaki (731/1999)] z dnia 11 czerwca 1999 r. stanowi:
„Prywatność, godność i mir domowy każdego człowieka są chronione. Ochrona danych osobowych jest uregulowana w ustawie szczególnej”.
12 Zgodnie z art. 12 ustawy zasadniczej:
„Każdy człowiek korzysta z wolności wypowiedzi. Wolność wypowiedzi obejmuje prawo do wyrażania swoich opinii, upowszechniania i uzyskiwania informacji i opinii, z wyłączeniem cenzury prewencyjnej. Szczegółowe przepisy dotyczące wykonywania wolności wypowiedzi zostaną określone przez ustawę. […]
Dokumenty i inne zapisy znajdujące się w posiadaniu organów państwowych są jawne, chyba że ich jawność zostanie ograniczona przez ustawę z uwagi na względy szczególne. Każdy ma prawo do dostępu do informacji zawartych w jawnych dokumentach i zapisach urzędowych”.
13 Ustawa o danych osobowych [henkilötietolaki (523/1999)] z dnia 22 kwietnia 1999 r., na mocy której dokonano transpozycji dyrektywy do prawa krajowego, ma zastosowanie do przetwarzania danych osobowych (art. 2 ust. 1) z wyjątkiem zbiorów danych osobowych zawierających wyłącznie materiał informacyjny upowszechniony przez media (art. 2 ust. 4). Ma ona jedynie częściowo zastosowanie do przetwarzania danych osobowych do celów redakcyjnych, artystycznych lub literackich (art. 2 ust. 5).
14 Artykuł 32 ustawy o danych osobowych przewiduje, że osoba odpowiedzialna za przetwarzanie danych stosuje niezbędne środki techniczne i organizacyjne do ochrony danych osobowych przed osobami nieuprawnionymi, przypadkową utratą lub bezprawnym zniszczeniem, zmianą, ujawnieniem, przekazaniem lub innym przetworzeniem niezgodnym z ustawą.
15 Ustawa o jawności działań organów publicznych [laki viranomaisten toiminnan julkisuudesta (621/1999)] z dnia 21 maja 1999 r. również reguluje dostęp do informacji.
16 Artykuł 1 ust. 1 ustawy o jawności działań organów publicznych ustanawia generalną zasadę, wedle której dokumenty objęte tą ustawą są jawne.
17 Artykuł 9 tej ustawy stanowi, że każdy ma prawo do zapoznania się z jawnymi dokumentami urzędowymi
18 Artykuł 16 ust. 1 wskazanej ustawy określa sposoby dostępu do tego rodzaju dokumentów. Przepis ten przewiduje, że organy publiczne mogą przekazać treść dokumentu urzędowego ustnie lub przedstawić go do wglądu na miejscu, gdzie można się z nim zapoznać, sporządzić kserokopię, wysłuchać lub też pozyskać w formie drukowanej kopii.
19 Artykuł 16 ust. 3 tej ustawy określa warunki, na jakich mogą zostać ujawnione informacje zawarte w urzędowym zbiorze danych osobowych:
„Dane osobowe zawarte w urzędowym zbiorze danych osobowych są, z zastrzeżeniem odmiennego uregulowania w niniejszej ustawie, udostępniane w formie kopii, wyciągu ze zbioru lub też w formie zapisu elektronicznego, jeżeli odbiorca jest uprawniony do rejestracji i przetwarzania tych danych na podstawie przepisów dotyczących ochrony danych osobowych. Jednakże dla celów bezpośredniego marketingu, badań opinii społecznej oraz badań rynkowych dane osobowe mogą być udostępniane jedynie, jeżeli zostało to wyraźnie przewidziane w ustawie lub gdy osoba, której te dane dotyczą, wyraziła na to zgodę”.
20 Sąd krajowy wskazał, że ustawa o jawności i poufności danych podatkowych [laki verotustietojen julkisuudesta ja salassapidosta (1346/1999)] z dnia 30 grudnia 1999 r. ma pierwszeństwo względem ustawy o danych osobowych i względem ustawy o jawności działań organów publicznych.
21 Zgodnie z art. 2 tej ustawy przepisy ustawy o jawności działań organów publicznych i ustawy o danych osobowych mają zastosowanie do dokumentów i danych podatkowych, o ile przepisy ustawowe nie stanowią inaczej.
22 Artykuł 3 wskazanej ustawy stanowi:
„Dane podatkowe są jawne w granicach określonych przez niniejszą ustawę.
Każdy ma prawo dostępu do informacji zawartych w urzędowych dokumentach podatkowych znajdujących się w posiadaniu organów podatkowych zgodnie z przepisami ustawy o jawności działań organów publicznych, o ile niniejsza ustawa nie stanowi inaczej”.
23 Zgodnie z art. 5 ust. 1 wskazanej ustawy, podane w corocznej deklaracji podatkowej nazwisko podatnika, rok jego urodzenia oraz gmina, w której zamieszkuje, stanowią jawne dane podatkowe. Jawne są również następujące informacje:
„1. podlegający opodatkowaniu dochód z tytułu działalności zarobkowej (podatek ogólnokrajowy);
2. podlegający opodatkowaniu dochód z kapitału i majątek (podatek ogólnokrajowy);
3. podlegający opodatkowaniu dochód z tytułu działalności zarobkowej (podatek gminny);
4. łączna kwota podatków dochodowych i podatku od majątku oraz łączna kwota naliczonych podatków i opłat.
[…]”.
24 Ponadto w art. 8 należącym do rozdziału 24 kodeksu karnego (rikoslaki w wersji ustawy 531/2000) uregulowane zostały sankcje za upowszechnienie informacji mających negatywny wpływ na życie prywatne osoby, której dotyczą. Karze podlega również, kto za pomocą mass mediów lub w inny sposób udostępnia większej liczbie osób informację, aluzję lub obraz dotyczące życia prywatnego innej osoby, jeżeli działanie to może spowodować u osoby, której ta informacja dotyczy, szkodę, cierpienie lub utratę szacunku.
Postępowanie przed sądem krajowym i pytania prejudycjalne
25 Od wielu lat Markkinapörssi pobiera od fińskich organów podatkowych jawne dane w celu dokonania corocznej publikacji części tych danych w regionalnych wydaniach czasopisma Veropörssi.
26 Informacje zawarte w tych publikacjach obejmują imiona i nazwiska około 1,2 miliona osób fizycznych, których dochody przekraczają określone progi, oraz w zaokrągleniu do 100 EUR kwoty ich dochodów z kapitału i działalności zarobkowej oraz dane dotyczące opodatkowania majątku. Informacje te są publikowane w formie alfabetycznej listy i podlegają klasyfikacji według gmin oraz według kategorii dochodów.
27 Z postanowienia sądu odsyłającego wynika, że w czasopiśmie Veropörssi wskazuje się, że ujawnione dane osobowe mogą zostać usunięte na wniosek, bez powstania kosztów.
28 Pomimo że czasopismo zawiera również artykuły, podsumowania i ogłoszenia, jego głównym celem jest publikacja danych osobowych o charakterze podatkowym.
29 Markkinapörssi udostępniła należącej do tych samych akcjonariuszy spółce Satamedia opublikowane w Veropörssi dane osobowe na płytach CD‑ROM, celem ich rozpowszechnienia w systemie SMS. By tego dokonać, te dwie spółki zawarły umowę ze spółką będącą operatorem sieci telefonii komórkowej, która na rachunek Satamedia stworzyła serwis SMS umożliwiający użytkownikom telefonów komórkowych za opłatą w wysokości 2 EUR otrzymywanie na ich numer telefonu informacji publikowanych w Veropörssi. Na wniosek dane osobowe są usuwane z tego serwisu.
30 Tietosuojavaltuutettu i tietosuojalautakunta, władze fińskie właściwe w zakresie ochrony danych sprawują kontrolę nad przetwarzaniem danych osobowych i wykonują władztwo decyzyjne na warunkach określonych w ustawie o danych osobowych.
31 Wskutek skarg osób fizycznych podnoszących naruszenie ich prywatności tietosuojavaltuutettu, prowadzący dochodzenie w sprawie działań Markkinapörssi i Satamedia, zażądał w dniu 10 marca 2004 r. przed tietosuojalautakunta zakazania tym spółkom dalszego prowadzenia działalności w zakresie wskazanego przetwarzania danych osobowych.
32 Po oddaleniu tego wniosku przez tietosuojalautakunta, tietosuojavaltuutettu odwołał się do Helsingin hallinto‑oikeus (sądu administracyjnego w Helsinkach), który również oddalił jego skargę. Tietosuojavaltuutettu odwołał się od tego wyroku do Korkein hallinto‑oikeus.
33 Sąd krajowy podkreślił, że odwołanie wniesione przez tietosuojavaltuutettu nie dotyczy kwestii przekazania informacji przez władze fińskie. Wskazał on również, że nie podlega wątpliwości jawny charakter omawianych danych podatkowych. Ma on natomiast wątpliwości co do późniejszego przetwarzania tych danych.
34 W tych okolicznościach sąd krajowy postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy za przetwarzanie danych osobowych w rozumieniu art. 3 ust. 1 dyrektywy […] można uznać takie działanie, które polega na:
a) gromadzeniu w oparciu o dokumenty urzędowe danych dotyczących dochodu z tytułu działalności zarobkowej i z kapitału oraz danych dotyczących majątku osoby fizycznej i ich przetwarzaniu w celu opublikowania,
b) opublikowaniu ich w formie obszernej listy, sporządzonej w kolejności alfabetycznej i uporządkowanej według kategorii dochodów i gmin,
c) udostępnieniu ich w formie płyty CD‑ROM na potrzeby wykorzystania do celów komercyjnych,
d) przetworzeniu ich na potrzeby serwisu SMS, w ramach którego po wysłaniu krótkiej wiadomości tekstowej zawierającej imię, nazwisko i miejsce zamieszkania konkretnej osoby pod konkretny numer użytkownik telefonu komórkowego może uzyskać w ramach odpowiedzi dane dotyczące dochodu z tytułu działalności zarobkowej i z kapitału oraz dane dotyczące majątku tej osoby?
2) Czy dyrektywę […] należy interpretować w ten sposób, że rozmaite działania opisane powyżej w pytaniu pierwszym pkt a)–d) mogą zostać uznane za przetwarzanie danych osobowych wyłącznie w celach dziennikarskich w rozumieniu art. 9 dyrektywy, jeżeli uwzględnione zostanie, że dane dotyczące ponad miliona osób zostały zgromadzone w oparciu o dokumenty, które w świetle przepisów prawa krajowego o dostępie do informacji są jawne? Czy dla tej oceny ma znaczenie okoliczność, że głównym celem tego działania było opublikowanie przedmiotowych danych?
3) Czy w świetle zasad i celów dyrektywy […] art. 17 tej dyrektywy należy interpretować w ten sposób, że stoi on na przeszkodzie opublikowaniu danych, które zostały zgromadzone w celach dziennikarskich, i udostępnieniu ich na potrzeby wykorzystania do celów komercyjnych?
4) Czy dyrektywę […] należy interpretować w ten sposób, że te zbiory danych osobowych, które zawierają jedynie materiał informacyjny już upowszechniony przez media, w ogóle nie należą do zakresu zastosowania tej dyrektywy?”.
W przedmiocie pytań prejudycjalnych
W przedmiocie pytania pierwszego
35 Należy stwierdzić, że wskazane w tym pytaniu dane, odnoszące się do nazwisk i imion pewnych osób fizycznych, których dochody przekraczają określone progi, oraz odnoszące się między innymi do kwot dochodów z kapitałów i z działalności zarobkowej tych osób w zaokrągleniu do 100 EUR, stanowią dane osobowe w rozumieniu art. 2 lit. a) dyrektywy, ponieważ chodzi o „informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej” (zob. również wyrok z dnia 20 maja 2003 r. w sprawach połączonych C‑465/00, C‑138/01 i C‑139/01 Österreichischer Rundfunk i in., Rec. s. I‑4989, pkt 64).
36 Wystarczy następnie stwierdzić, że z brzmienia art. 2 lit. b) dyrektywy wynika w sposób jasny, że działalność wskazana w tym pytaniu jest objęta definicją „przetwarzania danych osobowych” w rozumieniu tego przepisu.
37 W konsekwencji na pytanie pierwsze należy odpowiedzieć, iż art. 3 ust. 1 dyrektywy należy interpretować w ten sposób, że działanie, która polega na:
– gromadzeniu w oparciu o dokumenty urzędowe danych dotyczących dochodu z tytułu działalności zarobkowej i z kapitału oraz danych dotyczących majątku osoby fizycznej i ich przetwarzaniu w celu opublikowania,
– opublikowaniu ich w formie obszernej listy, sporządzonej w kolejności alfabetycznej i uporządkowanej według kategorii dochodów i gmin,
– udostępnieniu ich w formie płyty CD‑ROM na potrzeby wykorzystania do celów komercyjnych,
– przetworzeniu ich na potrzeby serwisu SMS, w ramach którego po wysłaniu krótkiej wiadomości tekstowej zawierającej imię, nazwisko i miejsce zamieszkania konkretnej osoby pod konkretny numer użytkownik telefonu komórkowego może uzyskać w ramach odpowiedzi dane dotyczące dochodu z tytułu działalności zarobkowej i z kapitału oraz dane dotyczące majątku tej osoby, należy uznać za „przetwarzanie danych osobowych” w rozumieniu tego przepisu.
W przedmiocie pytania czwartego
38 W pytaniu czwartym, które należy przeanalizować na drugim miejscu, sąd krajowy zmierza zasadniczo do ustalenia, czy działania polegające na przetwarzaniu danych osobowych, takie jak działania wskazane w pierwszym pytaniu pkt c) i d), dotyczące zbiorów danych osobowych, które zawierają jedynie materiał informacyjny już upowszechniony przez media, należą do zakresu zastosowania tej dyrektywy.
39 W tym kontekście należy wskazać, że zgodnie z art. 3 ust. 2 dyrektywy, nie ma ona zastosowania do przetwarzania danych osobowych w dwóch przypadkach.
40 Pierwszy z tych przypadków dotyczy przetwarzania danych osobowych w ramach działalności wykraczającej poza zakres prawa Wspólnoty, jak na przykład dane, o których stanowi tytuł V i VI traktatu o Unii Europejskiej, a w każdym razie w ramach działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (łącznie z dobrą kondycją gospodarczą państwa, gdy działalność ta dotyczy spraw związanych z bezpieczeństwem państwa) oraz w ramach działalności państwa w obszarach prawa karnego.
41 Te rodzaje działalności wymienione tytułem przykładu w art. 3 ust. 2 tiret pierwsze dyrektywy stanowią w każdym razie działalność właściwą państwom i władzom państwowym, odmienną od dziedzin działalności podmiotów indywidualnych. Służą one zdefiniowaniu zakresu odstępstwa przewidzianego we wskazanym przepisie w ten sposób, że odstępstwo to ma zastosowanie jedynie do działalności wyraźnie w nim wymienionych lub mogących być zaklasyfikowane do tej samej kategorii (eiusdem generis) (zob. wyrok z dnia 6 listopada 2003 r. w sprawie C‑101/01 Lindqvist, Rec. s. I‑12971, pkt 43 i 44).
42 Przetwarzanie danych osobowych wskazane w pierwszym pytaniu pkt c) i d) pozostaje w zakresie działalności prywatnych spółek. Działania te w żaden sposób nie wchodzą w zakres władzy publicznej ani bezpieczeństwa publicznego. W związku z tym tego rodzaju działania nie mogą być zrównywane z rodzajami działalności wskazanymi w art. 3 ust. 2 dyrektywy (zob. podobnie wyrok z dnia 30 maja 2006 r. w sprawach połączonych C‑317/04 i C‑318/04 Parlament przeciwko Radzie, Rec. s. I‑4721, pkt 58).
43 Co się tyczy drugiego przypadku, przewidzianego w art. 3 ust. 2 tiret drugie dyrektywy, dotyczący tego odstępstwa motyw dwunasty dyrektywy wskazuje korespondencję i przechowywanie spisów adresów jako przykłady przetwarzania danych przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze.
44 Z powyższego wynika, że to drugie odstępstwo powinno być interpretowane jako obejmujące jedynie działania wchodzące w zakres życia prywatnego lub rodzinnego podmiotów indywidualnych (zob. ww. wyrok w sprawie Lindqvist, pkt 47). W sposób oczywisty nie ma to miejsca w przypadku działalności Markkinapörssi i Satamedia, polegającej na przekazaniu zebranych danych nieograniczonej liczbie osób.
45 Należy w związku z tym stwierdzić, że działania polegające na przetwarzaniu danych osobowych, takie jak działania wskazane w pierwszym pytaniu pkt c) i d), nie stanowią przypadków wskazanych w art. 3 ust. 2 dyrektywy.
46 Ponadto należy wskazać, że dyrektywa nie przewiduje jakiegokolwiek dodatkowego ograniczenia jej zakresu stosowania.
47 W tym względzie rzecznik generalny wskazała w pkt 125 opinii, że art. 13 dyrektywy zezwala na odstępstwa jedynie od niektórych przepisów dyrektywy, do których nie należy art. 3.
48 Wreszcie należy wskazać, że ogólne odstępstwo od stosowania dyrektywy w przypadku informacji opublikowanych w dużej mierze pozbawiałoby tę dyrektywę sensu. Wystarczyłoby bowiem, by państwa członkowskie opublikowały dane, by wyjąć je spod ochrony przewidzianej w tej dyrektywie.
49 W związku z powyższym na czwarte pytanie należy odpowiedzieć, iż działania polegające na przetwarzaniu danych osobowych, takie jak działania wskazane w pierwszym pytaniu pkt c) i d), dotyczące zbiorów władz publicznych obejmujących dane osobowe, które zawierają jedynie materiał informacyjny już upowszechniony przez media, należą do zakresu zastosowania dyrektywy.
W przedmiocie pytania drugiego
50 W pytaniu drugim sąd krajowy zmierza zasadniczo do ustalenia, czy art. 9 dyrektywy powinien być interpretowany w ten sposób, że działania wskazane w pytaniu pierwszym pkt a)–d), dotyczące danych pochodzących z dokumentów jawnych w świetle przepisów prawa krajowego, powinny zostać uznane za przetwarzanie danych osobowych wyłącznie w celach dziennikarskich. Sąd krajowy precyzuje, że wnosi o wyjaśnienie kwestii, czy okoliczność, że głównym celem tych działań jest publikacja omawianych danych, ma znaczenie dla tej oceny.
51 Na wstępie należy stwierdzić, że zgodnie z utrwalonym orzecznictwem wykładnia przepisów dyrektywy powinna być dokonywana z uwzględnieniem jej celu oraz systemu, który ustanawia (zob. podobnie wyrok z dnia 11 września 2008 r. w sprawie C‑265/07 Caffaro, dotychczas nieopublikowany w Zbiorze, pkt 14).
52 W tym kontekście, jak wynika z art. 1 dyrektywy, bezsporne jest, że dyrektywa ta ma na celu, by państwa członkowskie, umożliwiając swobodny przepływ danych osobowych, zapewniły jednocześnie ochronę podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do prywatności w odniesieniu do przetwarzania tych danych.
53 Cel ten nie może jednak zostać osiągnięty bez uwzględnienia okoliczności, że wskazane prawa podstawowe należy w pewnym stopniu pogodzić z podstawowym prawem do wolności wypowiedzi.
54 Tego rodzaju pogodzenie zostało wskazane w art. 9 dyrektywy. Jak wynika w szczególności z motywu trzydziestego siódmego dyrektywy, wskazany art. 9 ma na celu pogodzenie dwóch praw podstawowych: z jednej strony ochrony prywatności i z drugiej strony wolności wypowiedzi. Do wykonania tego zadania zobowiązane są państwa członkowskie.
55 W celu pogodzenia tych dwóch „praw podstawowych” w rozumieniu dyrektywy państwa członkowskie zostały zobowiązane do ustanowienia pewnych odstępstw lub ograniczeń ochrony danych, odnoszących się w związku z tym do podstawowego prawa do prywatności, które zostały przewidziane w rozdziałach II, IV i VI tej dyrektywy. Odstępstwa te powinny zostać ustanowione jedynie w celach dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego, co jest objęte podstawowym prawem do wolności wypowiedzi, o ile jest to konieczne do pogodzenia prawa do prywatności z przepisami dotyczącymi wolności wypowiedzi.
56 Z jednej strony by uwzględnić doniosłość wolności wypowiedzi w społeczeństwie demokratycznym, należy szeroko interpretować związane z nią pojęcia, w tym pojęcie dziennikarstwa. Z drugiej strony w celu osiągnięcia równowagi pomiędzy wskazanymi dwoma prawami podstawowymi ochrona prawa podstawowego do prywatności wymaga, aby przewidziane w wymienionych powyżej rozdziałach dyrektywy odstępstwa i ograniczenia ochrony danych ograniczały się do tego, co absolutnie konieczne.
57 W tym kontekście należy uwzględnić następujące kwestie.
58 Po pierwsze, jak wskazał rzecznik generalny w pkt 65 opinii i jak wynika z prac przygotowawczych do dyrektywy, wyjątki i odstępstwa przewidziane w art. 9 dyrektywy mają zastosowanie nie tylko do przedsiębiorstw medialnych, lecz również do każdej osoby prowadzącej działalność dziennikarską.
59 Po drugie, okoliczność, że opublikowanie danych o charakterze jawnym jest związane z celem zarobkowym, nie wyklucza a priori, aby mogło ono być uznane za działanie „wyłącznie w celach dziennikarskich”. Jak bowiem wskazały Markkinapörssi i Satamedia w swych uwagach oraz rzecznik generalny w pkt 82 opinii, każde przedsiębiorstwo zmierza do osiągnięcia zysku ze swej działalności. Pewien sukces komercyjny może nawet stanowić warunek sine qua non przetrwania profesjonalnego dziennikarstwa.
60 Po trzecie, należy wziąć pod uwagę rozwój oraz pomnożenie środków komunikacji i rozpowszechniania informacji. Jak wskazał między innymi rząd szwedzki, nośnik informacji, za pomocą którego przetwarzane dane są przekazywane – klasyczny, jak papier lub fale radiowe, lub elektroniczny, jak Internet – nie stanowi decydującego kryterium dokonania oceny, czy chodzi o działanie „wyłącznie w celach dziennikarskich”.
61 Z powyższego wynika, że działania takie jak te, które są rozpatrywane w sprawie przed sądem krajowym, dotyczące danych pochodzących z dokumentów jawnych w świetle przepisów krajowych, mogą zostać zaklasyfikowane w ramach „działalności dziennikarskiej”, jeśli ich celem jest publiczne rozpowszechnienie informacji, opinii lub myśli za pomocą jakiegokolwiek środka przekazu. Działalność dziennikarska nie jest zastrzeżona dla przedsiębiorstw medialnych i może być związana z celem zarobkowym.
62 W związku z powyższym na pytanie drugie należy odpowiedzieć, iż art. 9 dyrektywy należy interpretować w ten sposób, że działania wskazane w pytaniu pierwszym pkt a)–d), dotyczące danych pochodzących z dokumentów jawnych w świetle przepisów prawa krajowego, powinny zostać uznane za przetwarzanie danych osobowych „wyłącznie w celach dziennikarskich” w rozumieniu tego przepisu, jeśli ich wyłącznym celem jest publiczne rozpowszechnienie informacji, opinii lub myśli, co podlega ocenie sądu krajowego.
W przedmiocie pytania trzeciego
63 W trzecim pytaniu sąd krajowy zmierza zasadniczo do ustalenia, czy art. 17 dyrektywy należy interpretować w ten sposób, że przepis ten stoi na przeszkodzie opublikowaniu danych, które zostały zgromadzone w celach dziennikarskich, i udostępnieniu ich do celów komercyjnych.
64 Mając na uwadze odpowiedź na pytanie drugie, brak jest konieczności udzielania odpowiedzi na to pytanie.
W przedmiocie kosztów
65 Dla stron postępowania przed sądem krajowym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed tym sądem, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż poniesione przez strony postępowania przed sądem krajowym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (wielka izba) orzeka, co następuje :
1) Artykuł 3 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że działanie, które polega na:
– gromadzeniu w oparciu o dokumenty urzędowe danych dotyczących dochodu z tytułu działalności zarobkowej i z kapitału oraz danych dotyczących majątku osoby fizycznej i ich przetwarzaniu w celu opublikowania,
– opublikowaniu ich w formie obszernej listy, sporządzonej w kolejności alfabetycznej i uporządkowanej według kategorii dochodów i gmin,
– udostępnieniu ich w formie płyty CD‑ROM na potrzeby wykorzystania do celów komercyjnych,
– przetworzeniu ich na potrzeby serwisu SMS, w ramach którego po wysłaniu krótkiej wiadomości tekstowej zawierającej imię, nazwisko i miejsce zamieszkania konkretnej osoby pod konkretny numer użytkownik telefonu komórkowego może uzyskać w ramach odpowiedzi dane dotyczące dochodu z tytułu działalności zarobkowej i z kapitału oraz dane dotyczące majątku tej osoby,
należy uznać za „przetwarzanie danych osobowych” w rozumieniu tego przepisu.
2) Artykuł 9 dyrektywy 95/46 należy interpretować w ten sposób, że działania wskazane w pytaniu pierwszym pkt a)–d), dotyczące danych pochodzących z dokumentów jawnych w świetle przepisów prawa krajowego, powinny zostać uznane za przetwarzanie danych osobowych „wyłącznie w celach dziennikarskich” w rozumieniu tego przepisu, jeśli ich wyłącznym celem jest publiczne rozpowszechnienie informacji, opinii lub myśli, co podlega ocenie sądu krajowego.
3) Działania polegające na przetwarzaniu danych osobowych, takie jak działania wskazane w pierwszym pytaniu pkt c) i d), dotyczące zbiorów władz publicznych obejmujących dane osobowe, które zawierają jedynie materiał informacyjny już upowszechniony przez media, należą do zakresu zastosowania dyrektywy 95/46.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl