W sprawie C212/13 mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Nejvyšší správní soud (Republika Czeska) postanowieniem z dnia 20 marca 2013 r., które wpłynęło do Trybunału w dniu 19 kwietnia 2013 r., w postępowaniu: František Ryneš przeciwko Úřad pro ochranu osobních údajů,
TRYBUNAŁ (czwarta izba), w składzie:
L. Bay Larsen, prezes izby, K. Jürimäe, J. Malenovský, M. Safjan (sprawozdawca) i A. Prechal, sędziowie,
rzecznik generalny: N. Jääskinen,
sekretarz: I. Illéssy, administrator, uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 20 marca 2014 r., rozważywszy uwagi przedstawione:
w imieniu F. Ryneša przez M. Šalomouna, advokát,
w imieniu Úřad pro ochranu osobních údajů przez I. Němeca, advokát, oraz J. Prokeša,
w imieniu rządu czeskiego przez M. Smolka oraz J. Vláčila, działających w charakterze pełnomocników,
w imieniu rządu hiszpańskiego przez A. Rubia Gonzáleza, działającego w charakterze pełnomocnika,
w imieniu rządu włoskiego przez G. Palmieri, działającą w charakterze pełnomocnika, wspieraną przez P. Gentilego, avvocato dello Stato,
w imieniu rządu austriackiego przez A. Poscha oraz G. Kunnerta, działających w charakterze pełnomocników,
w imieniu rządu polskiego przez B. Majczynę, J. Fałdygę oraz M. Kamejszę, działających w charakterze pełnomocników,
w imieniu rządu portugalskiego przez L. Ineza Fernandesa oraz C. Vieirę Guerrę, działających w charakterze pełnomocników,
w imieniu rządu Zjednoczonego Królestwa przez L. Christiego, działającego w charakterze pełnomocnika, wspieranego przez J. Holmesa, barrister,
w imieniu Komisji Europejskiej przez B. Martenczuka, P. Němečkovą oraz Z.
Malůškovą, działających w charakterze pełnomocników, po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 10 lipca 2014 r., wydaje następujący wyrok
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 3 ust. 2 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31).
2 Wniosek ten został złożony w ramach sporu między F. Rynešem a Úřad pro ochranu osobních údajů (urzędem ds. ochrony danych osobowych, zwanym dalej Úřad) w związku z decyzją, mocą której Úřad stwierdził, że F. Ryneš popełnił kilka wykroczeń w zakresie ochrony danych osobowych.
Ramy prawne
Prawo Unii
3 Motywy 10, 12, 1416 dyrektywy 95/46 stanowią:
(10) Celem krajowych przepisów prawa dotyczących przetwarzania danych osobowych jest ochrona podstawowych praw i wolności, szczególnie prawa do prywatności, które zostało uznane zarówno w art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności oraz w zasadach ogólnych prawa wspólnotowego; z tego powodu zbliżanie przepisów prawa nie powinno wpłynąć na zmniejszenie ochrony, jaką gwarantują, lecz przeciwnie, musi dążyć do zapewnienia jak najwyższego stopnia ochrony we Wspólnocie.
[]
(12) [] należy wyłączyć przetwarzanie danych dokonywane przez osobę fizyczną w wykonywaniu działań o charakterze wyłącznie osobistym lub domowym, jak np. korespondencja i przechowywanie spisów adresów.
[]
(14) Jeżeli w ramach społeczeństwa informacyjnego ma znaczenie rozwój technik gromadzenia, przekazywania, kompilowania, rejestrowania, przechowywania i przesyłania danych dźwiękowych i obrazowych osób fizycznych, niniejsza dyrektywa powinna mieć zastosowanie do przetwarzania takich danych.
(15) Przetwarzanie tych danych jest objęte niniejszą dyrektywą tylko wówczas, gdy jest ono zautomatyzowane lub jeśli dane zawarte są lub przeznaczone do umieszczenia w zamkniętym układzie zbiorów, zorganizowanym według określonych kryteriów dotyczących osób fizycznych w celu zapewnienia łatwego dostępu do wspomnianych danych osobowych.
(16) Przetwarzanie danych dźwiękowych i obrazowych, np. w przypadku nadzoru kamer wideo, nie wchodzi w zakres stosowania niniejszej dyrektywy, jeśli dokonywane jest dla potrzeb bezpieczeństwa publicznego, obronności, bezpieczeństwa narodowego lub też w trakcie działań państwowych w dziedzinie prawa karnego lub innych działań niewchodzących w zakres prawa wspólnotowego.
4 Zgodnie z art. 2 tej dyrektywy:
Do celów niniejszej dyrektywy:
a) dane osobowe oznacza[ją] wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której dane dotyczą); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na [] jeden bądź kilka szczególnych czynników określających jej fizyczną [] tożsamość;
b) przetwarzanie danych osobowych (przetwarzanie) oznacza każdą operację lub [każdy] zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie;
c) zbiór danych [osobowych] (zbiór) oznacza każdy uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów, scentralizowanych, zdecentralizowanych lub rozproszonych funkcjonalnie lub geograficznie;
d) administrator danych oznacza osobę fizyczną [], [która] samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych [osobowych] [].
5 Artykuł 3 dyrektywy 95/46 stanowi:
1. Niniejsza dyrektywa stosuje się do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.
2. Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:
w ramach działalności wykraczającej poza zakres prawa Wspólnoty, jak np. dane, o których stanowi tytuł V i VI Traktatu o Unii Europejskiej, a w żadnym razie do działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (łącznie z [] kondycją gospodarczą państwa, gdy działalność ta dotyczy spraw związanych z bezpieczeństwem państwa) oraz działalności państwa w obszarach prawa karnego,
przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze.
6 Artykuł 7 tej dyrektywy ma następujące brzmienie:
Państwa członkowskie zapewniają, że dane osobowe mogą być przetwarzane tylko wówczas gdy:
a) osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę; lub
[]
f) przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom [osób trzecich], którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę [wymagają ochrony] na podstawie art. 1 ust. 1.
7 Artykuł 11 dyrektywy 95/46 przewiduje:
1. W przypadku gdy dane uzyskiwane są z innych źródeł niż osoba, której dane dotyczą, państwa członkowskie zapewniają, aby administrator danych [] był zobowiązany od początku gromadzenia danych osobowych [] dostarczyć osobie, której dane dotyczą, co najmniej następujące informacje, z wyjątkiem przypadku, kiedy posiada już ona takie informacje:
[a)] tożsamość administratora [];
[b)] cele przetwarzania danych;
[c)] wszelkie dalsze informacje, jak np.:
kategorie potrzebnych danych,
odbiorcy lub kategorie odbierających dane,
istnienie prawa wglądu do swoich danych oraz ich sprostowania,
o ile takie dalsze informacje są konieczne, biorąc pod uwagę szczególne okoliczności, w których dane są gromadzone, w celu zagwarantowania rzetelnego przetwarzania danych w stosunku do osoby, której dane dotyczą.
2. Ustęp 1 nie ma zastosowania w przypadku, gdy, szczególnie w przypadku [dla] przetwarzania danych do celów statystycznych, historycznych lub naukowych, dostarczenie takich informacji [byłoby niemożliwe,] wymagałoby niewspółmiernie dużego wysiłku lub jeżeli gromadzenie lub ujawnianie informacji jest wyraźnie przewidziane przez prawo. W takich przypadkach państwa członkowskie zapewniają odpowiednie środki zabezpieczające.
8 Artykuł 13 ust. 1 niniejszej dyrektywy stanowi:
Państwo członkowskie może przyjąć środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków, przewidzianego w [] art. 11 ust. 1 [], kiedy ograniczenie takie stanowi środek konieczny dla zabezpieczenia:
[]
d) działań prewencyjnych, prowadzonych czynności dochodzeniowo-śledczych i prokuratorskich w sprawach karnych lub sprawach o naruszenie zasad etyki w zawodach podlegających regulacji;
[]
g) ochrony [] praw i wolności innych osób.
9 Zgodnie z art. 18 ust. 1 niniejszej dyrektywy:
Państwa członkowskie zobowiązują administratora danych [] do zawiadomienia organu nadzorczego [] przed przeprowadzeniem całościowej lub częściowej operacji automatycznego przetwarzania danych lub zestawu takich operacji mających służyć jednemu celowi lub wielu powiązanym ze sobą celom.
Prawo czeskie
10 Artykuł 3 ust. 3 ustawy nr 101/2000 Sb. w sprawie ochrony danych osobowych i zmiany niektórych ustaw (zwanej dalej ustawą nr 101/2000) stanowi:
Niniejsza ustawa nie obejmuje przetwarzania danych osobowych dokonywanego przez osobę fizyczną wyłącznie na użytek osobisty.
11 Artykuł 44 ust. 2 tej ustawy reguluje odpowiedzialność osoby zajmującej się przetwarzaniem danych osobowych, która dopuszcza się wykroczenia przy okazji przetwarzania tych danych bez zgody osoby, której dane te dotyczą, w wypadku gdy nie dostarcza jej właściwych informacji i gdy nie spełnia obowiązku zawiadomienia właściwego organu.
12 Zgodnie z art. 5 ust. 2 omawianej ustawy przetwarzanie danych osobowych jest co do zasady możliwe jedynie za zgodą osoby, której te dane dotyczą. W braku takiej zgody rzeczone przetwarzanie może mieć miejsce, jeżeli okaże się konieczne w celu zabezpieczenia podlegających ochronie na mocy ustawy praw i interesów podmiotu odpowiedzialnego za przetwarzanie, adresata lub każdej innej osoby, której te dane dotyczą. Przetwarzanie to nie może jednak naruszać prawa danej osoby do poszanowania jej sfery prywatnej i życia osobistego.
Postępowanie główne i pytanie prejudycjalne
13 W okresie od 5 października 2007 r. do 11 kwietnia 2008 r. F. Ryneš korzystał z zainstalowanego przez siebie systemu kamer usytuowanego pod dachem domu jego rodziny.
Kamera ustawiona była w stałej pozycji bez możliwości obracania się i nagrywała wejście do tego domu, drogę publiczną oraz wejście do domu położonego naprzeciwko. System umożliwiał jedynie rejestrację obrazu, który przechowywany był na sprzęcie nagrywającym w sposób ciągły, a mianowicie na twardym dysku. Po zapełnieniu się pamięci na dysku nowe nagranie było rejestrowane w miejsce już istniejącego. Sprzęt nagrywający nie posiadał monitora, tak że nie było możliwości przeglądu nagrania w czasie rzeczywistym. Tylko F. Ryneš miał bezpośredni dostęp do systemu i danych.
14 Sąd odsyłający zauważa, że jedynym powodem korzystania z tej kamery przez F.
Ryneša była ochrona majątku, zdrowia i życia jego oraz jego rodziny. Zarówno bowiem on sam, jak i jego rodzina byli przez wiele lat celem ataków ze strony nieznanych sprawców, którzy nie zostali zidentyfikowani. Ponadto w okresie 20052007 wielokrotnie wybito okna domu jego rodziny.
15 W nocy z dnia 6 na 7 października 2007 r. doszło do kolejnego ataku. Szyba we wspomnianym domu została wybita strzałem z procy. Dzięki wspomnianemu systemowi kamer możliwe było ustalenie tożsamości dwóch podejrzanych. Nagrania zostały przekazane policji i następnie przedstawione jako dowód w ramach wszczętego postępowania karnego.
16 Jeden z tych podejrzanych zażądał weryfikacji legalności systemu kamer F. Ryneša, w wyniku czego Úřad decyzją z dnia 4 sierpnia 2008 r. stwierdził, że F. Ryneš dopuścił się naruszenia ustawy nr 101/2000 z uwagi na fakt, że:
jako administrator danych osobowych pozyskiwał za pomocą systemu kamer dane osobowe bez zgody osób poruszających się po ulicy lub wchodzących do domu po drugiej stronie ulicy;
nie poinformował tych osób o przetwarzaniu danych osobowych, o zakresie i celu tego przetwarzania, o osobie dokonującej przetwarzania oraz o sposobie dokonania przetworzenia ani o osobach, które mogły mieć dostęp do tych danych, oraz
jako administrator danych osobowych F. Ryneš nie spełnił obowiązku zawiadomienia Úřad o rzeczonym przetwarzaniu.
17 František Ryneš wystąpił ze skargą na tę decyzję do Městský soud v Praze (sądu miejskiego w Pradze), który ją oddalił wyrokiem z dnia 25 kwietnia 2012 r. Od tego wyroku F. Ryneš wniósł skargę kasacyjną do sądu odsyłającego.
18 W tych okolicznościach Nejvyšší správní soud (naczelny sąd administracyjny) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym:
Czy [wykorzystywanie] systemu kamer zainstalowan[ego] na domu rodzinnym w celu ochrony własności, zdrowia i życia właścicieli domu może zostać zaklasyfikowane jako przetwarzanie danych osobowych przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze w rozumieniu art. 3 ust. 2 dyrektywy 95/46 [], pomimo że system taki monitoruje również przestrzeń publiczną?.
W przedmiocie pytania prejudycjalnego
19 Poprzez swoje pytanie sąd odsyłający zmierza zasadniczo do ustalenia, czy art. 3 ust. 2 tiret drugie dyrektywy 95/46 należy interpretować w ten sposób, że wykorzystywanie systemu kamer przechowującego zapis obrazu osób na sprzęcie nagrywającym w sposób ciągły, takim jak dysk twardy, zainstalowanego przez osobę fizyczną na jej domu rodzinnym w celu ochrony własności, zdrowia i życia właścicieli domu, który to system monitoruje również przestrzeń publiczną, stanowi przetwarzanie danych w trakcie czynności o czysto osobistym lub domowym charakterze w rozumieniu tego przepisu.
20 Należy przypomnieć, że zgodnie z art. 3 ust. 1 tej dyrektywy stosuje się ją do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.
21 Pojęcie danych osobowych, które pojawia się w niniejszym przepisie, zgodnie z definicją zawartą w art. 2 lit. a) dyrektywy 95/46, obejmuje wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na [] jeden bądź kilka szczególnych czynników określających jej fizyczną [] tożsamość.
22 Wobec tego obraz osoby zarejestrowany przez kamerę stanowi dane osobowe w rozumieniu przepisu wskazanego w powyższym punkcie, o ile pozwala on ustalić tożsamość danej osoby.
23 W odniesieniu do pojęcia przetwarzania danych osobowych należy zauważyć, że jest ono zdefiniowane w art. 2 lit. b) dyrektywy 95/46 jako każd[a] operacj[a] lub [każdy] zestaw operacji dokonywanych na danych osobowych [], jak np. gromadzenie, rejestracja, [] przechowywanie.
24 Jak wynika w szczególności z motywów 15 i 16 dyrektywy 95/46 nadzór kamer wideo wchodzi zasadniczo w zakres stosowania niniejszej dyrektywy, o ile stanowi on zautomatyzowane przetwarzanie danych.
25 Nadzór polegający na rejestracji obrazu osób, tak jak w sprawie będącej przedmiotem postępowania głównego, przechowywanego na sprzęcie nagrywającym w sposób ciągły, a mianowicie na twardym dysku, stanowi na podstawie art. 3 ust. 1 dyrektywy 95/46 zautomatyzowane przetwarzanie danych osobowych.
26 Sąd odsyłający pragnie ustalić, czy takie przetwarzanie w takich okolicznościach jak w postępowaniu głównym jest jednak wyłączone z zakresu stosowania niniejszej dyrektywy jako dokonywane w trakcie czynności o czysto osobistym lub domowym charakterze w rozumieniu art. 3 ust. 2 tiret drugie wskazanej dyrektywy.
27 Jak wynika z art. 1 i motywu 10 dyrektywy 95/46, jej celem jest zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a szczególnie prawa do prywatności w zakresie przetwarzania danych osobowych (zob. wyrok Google Spain i Google, C131/12, EU:C:2014:317, pkt 66).
28 W tym względzie należy zauważyć, że zgodnie z utrwalonym orzecznictwem ochrona prawa podstawowego do prywatności, zagwarantowanego przez art. 7 Karty praw podstawowych Unii Europejskiej, wymaga, aby odstępstwa od ochrony danych osobowych i jej ograniczenia były stosowane jedynie wtedy, gdy jest to absolutnie konieczne (zob. wyroki: IPI, C473/12, EU:C:2013:715, pkt 39; a także Digital Rights Ireland i in., C293/12 i C594/12, EU:C:2014:238, pkt 52).
29 W zakresie, w jakim przepisy dyrektywy 95/46 regulujące kwestię przetwarzania danych osobowych mogącego naruszyć podstawowe wolności, a w szczególności prawo do prywatności, muszą być bezwzględnie interpretowane z punktu widzenia praw podstawowych, które zostały zawarte w wyżej wskazanej karcie (zob. wyrok Google Spain i Google, EU:C:2014:317, pkt 68), odstępstwo przewidziane w art. 3 ust. 2 tiret drugie tej dyrektywy musi podlegać ścisłej wykładni.
30 Ta ścisła wykładnia znajduje swoje uzasadnienie także w samym brzmieniu analizowanego przepisu, który wyłącza z zakresu stosowania dyrektywy 95/46 przetwarzanie danych wykonywane w trakcie czynności nie tylko o osobistym lub domowym charakterze, lecz o czysto osobistym lub domowym charakterze.
31 Biorąc pod uwagę powyższe rozważania, należy stwierdzić, podobnie jak rzecznik generalny w pkt 53 opinii, że przetwarzanie danych osobowych jest objęte odstępstwem przewidzianym w art. 3 ust. 2 tiret drugie dyrektywy 95/46 jedynie w wypadku, gdy jest ono wykonywane w ramach sfery o czysto osobistym lub domowym charakterze, należącej do osoby, która dokonuje tego przetwarzania.
32 Tym samym, w odniesieniu do osób fizycznych korespondencja i przechowywanie spisów adresów w świetle motywu 12 dyrektywy 95/46 stanowi działania o charakterze wyłącznie osobistym lub domowym [czynności o czysto osobistym lub domowym charakterze], choćby nawet w sposób incydentalny dotyczyły one lub mogły dotyczyć życia prywatnego innych osób.
33 O ile nadzór kamer wideo, taki jak ten w postępowaniu głównym, rozciąga się choćby częściowo na przestrzeń publiczną i tym samym jest skierowany poza sferę prywatną osoby dokonującej w ten sposób przetwarzania danych, o tyle nie powinien on być rozumiany jako czynność o czysto osobistym lub domowym charakterze w rozumieniu art. 3 ust. 2 tiret drugie dyrektywy 95/46.
34 Jednocześnie zastosowanie przepisów tej dyrektywy pozwala, w razie konieczności, uwzględnić, w szczególności zgodnie z art. 7 lit. f), art. 11 ust. 2, a także art. 13 ust. 1 lit. d) i g) niniejszej dyrektywy, uzasadnione interesy administratora danych, które w szczególności obejmują, tak jak w sprawie będącej przedmiotem postępowania głównego, ochronę własności, zdrowia i życia tego administratora, a także jego rodziny.
35 W konsekwencji na przedłożone pytanie należy udzielić następującej odpowiedzi: art. 3 ust. 2 tiret drugie dyrektywy 95/46 należy interpretować w ten sposób, że wykorzystywanie systemu kamer przechowującego zapis obrazu osób na sprzęcie nagrywającym w sposób ciągły, takim jak dysk twardy, zainstalowanego przez osobę fizyczną na jej domu rodzinnym w celu ochrony własności, zdrowia i życia właścicieli domu, który to system monitoruje również przestrzeń publiczną, nie stanowi przetwarzania danych w trakcie czynności o czysto osobistym lub domowym charakterze w rozumieniu tego przepisu.
W przedmiocie kosztów
36 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (czwarta izba) orzeka, co następuje:
Artykuł 3 ust. 2 tiret drugie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że wykorzystywanie systemu kamer przechowującego zapis obrazu osób na sprzęcie nagrywającym w sposób ciągły, takim jak dysk twardy, zainstalowanego przez osobę fizyczną na jej domu rodzinnym w celu ochrony własności, zdrowia i życia właścicieli domu, który to system monitoruje również przestrzeń publiczną, nie stanowi przetwarzania danych w trakcie czynności o czysto osobistym lub domowym charakterze w rozumieniu tego przepisu.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl