Aktualny

(C‑553/07)

Dodano: 7 maja 2009
Wyrok
Europejskiego Trybunału Sprawiedliwości
z dnia 7 maja 2009 r.
C-553/07

W sprawie C553/07 mającej za przedmiot wniosek o wydanie, na podstawie art. 234 WE, orzeczenia w trybie prejudycjalnym, złożony przez Raad van State (Niderlandy) postanowieniem z dnia 5 grudnia 2007 r., które wpłynęło do Trybunału w dniu 12 grudnia 2007 r., w postępowaniu:
College van burgemeester en wethouders van Rotterdam
przeciwko
M.E.E. Rijkeboer,

TRYBUNAŁ (trzecia izba), w składzie :
A. Rosas, prezes izby, A. Ó Caoimh, J. Klučka, U. Lhmus i P. Lindh (sprawozdawca), sędziowie,
rzecznik generalny: D. Ruiz-Jarabo Colomer,
sekretarz: M. Ferreira, główny administrator,
uwzględniając procedurę pisemną i po przeprowadzeniu rozprawy w dniu 20 listopada 2008 r., rozważywszy uwagi przedstawione:
w imieniu College van burgemeester en wethouders van Rotterdam przez R. de Breego, advocaat,
w imieniu M.E.E. Rijkeboer przez W. van Bentema, juridisch adviseur,
w imieniu rządu niderlandzkiego przez C.M. Wissels oraz C. ten Dam, działające w charakterze pełnomocników,
w imieniu rządu czeskiego przez M. Smolka, działającego w charakterze pełnomocnika,
w imieniu rządu greckiego przez E.M. Mamounę oraz V. Karrę, działające w charakterze pełnomocników,
w imieniu rządu hiszpańskiego przez M. Muoza Péreza, działającego w charakterze pełnomocnika,
w imieniu rządu Zjednoczonego Królestwa przez Z. Bryanston-Cross oraz H. Walker, działające w charakterze pełnomocników, wspierane przez J. Stratforda, barrister,
w imieniu Komisji Wspólnot Europejskich przez R. Troostersa oraz C. Dockseya, działających w charakterze pełnomocników,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 22 grudnia 2008 r., wydaje następujący wyrok

Uzasadnienie

1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 12 lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31, zwanej dalej „dyrektywą”).

 

2 Wniosek ten został złożony w ramach sporu pomiędzy M.E.E. Rijkeboerem a College van burgemeester en wethouders van Rotterdam (urządem miasta Rotterdam, zwanym dalej „College”) w przedmiocie częściowej odmowy udostępnienia mu informacji odnośnie do komunikacji dotyczących go danych osobowych osobom trzecim w okresie dwóch lat poprzedzających złożenie przez niego wniosku o udostępnienie informacji.

 

Ramy prawne
Uregulowania wspólnotowe

 

3 Motywy drugi i dziesiąty dyrektywy, dotyczące praw i wolności podstawowych stanowią:
„(2) [mając na uwadze, że] [s]ystemy przetwarzania danych są tworzone po to, aby służyły człowiekowi; muszą one, niezależnie od obywatelstwa czy miejsca stałego zamieszkania osób fizycznych, szanować ich podstawowe prawa i wolności, szczególnie prawo do prywatności, oraz przyczyniać się do postępu gospodarczego i społecznego, rozwoju handlu oraz dobrobytu jednostek;
[…]
(10) [mając na uwadze, że] [c]elem krajowych przepisów prawa dotyczących przetwarzania danych osobowych jest ochrona podstawowych praw i wolności, szczególnie prawa do prywatności, które zostało uznane zarówno w art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności oraz w zasadach ogólnych prawa wspólnotowego […]”.

 

4 Zgodnie z motywem 25 dyrektywy zasady ochrony muszą znajdować odzwierciedlenie, z jednej strony w obowiązkach nałożonych na osoby odpowiedzialne za przetwarzanie danych, zwłaszcza w zakresie jakości danych, jak również, z drugiej strony, w prawie osób, których dane są przedmiotem przetwarzania, do uzyskania informacji, że takie przetwarzanie danych ma miejsce, do uzyskania dostępu do danych, żądania poprawek lub nawet sprzeciwu wobec przetwarzania danych w niektórych przypadkach.

 

5 Motyw 40 dyrektywy, dotyczący obowiązku informowania osoby o dotyczących jej danych, jeżeli dane nie zostały uzyskane od niej, stanowi, że obowiązek taki nie istnieje, jeżeli udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, i że pod tym względem można brać pod uwagę liczbę osób, których dane dotyczą, wiek danych oraz przyjęte środki wyrównawcze.

 

6 Zgodnie z motywem 41 dyrektywy każda osoba musi mieć możliwość skorzystania z prawa dostępu do dotyczących jej danych, które poddane są przetwarzaniu, w celu zweryfikowania zwłaszcza prawidłowości danych oraz legalności ich przetwarzania.

 

7 Artykuł 1, zatytułowany „Cel dyrektywy”, ma następujące brzmienie:
„1. Zgodnie z przepisami niniejszej dyrektywy państwa członkowskie zobowiązują się chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych.
2. Państwa członkowskie nie będą ograniczać ani zakazywać swobodnego przepływu danych osobowych między państwami członkowskimi ze względów związanych z ochroną przewidzianą w ust. 1”.

 

8 Pojęcie „dane osobowe” zostało zdefiniowane w art. 2 lit. a) dyrektywy jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą”).

 

9 Przez „przetwarzanie danych osobowych” art. 2 lit. b) dyrektywy rozumie:
„każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie”.

 

10 Zgodnie z art. 2 lit. d) dyrektywy „administrator danych” oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych osobowych.

 

11 Artykuł 2 lit. g) dyrektywy definiuje „odbierającego dane [odbiorcę danych]” jako osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, któremu ujawniane są dane, będący lub niebędący „osobą trzecią”, tak jak została ona zdefiniowana w art. 2 lit. f) dyrektywy, jest upoważniona do przetwarzania danych.

 

12 Artykuł 6 dyrektywy ustanawia zasady dotyczące jakości danych. W odniesieniu do przechowywania danych art. 6 ust. 1 lit. e) stanowi, że państwa członkowskie zapewniają, aby dane osobowe były „przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez czas nie dłuższy niż jest to konieczne do celów, dla których dane zostały zgromadzone lub dla których są dalej przetwarzane. Państwa członkowskie ustanowią odpowiednie środki zabezpieczające dla danych przechowywanych przez dłuższe okresy dla potrzeb historycznych, statystycznych i naukowych”.

 

13 Artykuły 10 i 11 dyrektywy określają informacje, jakie administrator danych lub jego przedstawiciel ma obowiązek przedstawienia osobie, której dane dotyczą, w sytuacji, gdy zostały one, odpowiednio, uzyskane od niej, bądź nie.

 

14 Artykuł 12 dyrektywy, zatytułowany „Prawo dostępu do danych”, ma następujące brzmienie:
„Państwa członkowskie zapewniają każdej osobie, której dane dotyczą, prawo do uzyskania od administratora danych:
a) bez ograniczeń, w odpowiednich odstępach czasu oraz bez nadmiernego opóźnienia lub kosztów:
– potwierdzenia, czy dotyczące jej dane są przetwarzane oraz co najmniej informacji o celach przetwarzania danych, kategoriach danych oraz odbiorcach lub kategoriach odbiorców, którym dane te są ujawniane;
– wyrażonej w zrozumiałej formie informacji o danych przechodzących przetwarzanie oraz posiadanych informacji o ich źródłach;
– wiadomości na temat zasad automatycznego przetwarzania dotyczących jej danych przynajmniej w przypadku zautomatyzowanego procesu decyzyjnego określonego w art. 15 ust. 1;
b) odpowiednio do przypadku sprostowania, usunięcia lub zablokowania danych, których przetwarzanie jest niezgodne z przepisami niniejszej dyrektywy, szczególnie ze względu na niekompletność lub niedokładność danych;
c) zawiadomienia osób trzecich, którym dane zostały ujawnione, o ewentualnym sprostowaniu, usunięciu lub zablokowaniu danych zgodnie z lit. b), o ile nie okaże się to niemożliwe lub nie będzie wymagało niewspółmiernie dużego wysiłku”.

 

15 Artykuł 13 ust. 1 dyrektywy, zatytułowany „Zwolnienia i ograniczenia”, upoważnia pastwa członkowskie do odstępstw, w szczególności od art. 6 i 12, jeżeli jest to konieczne dla zabezpieczenia pewnych interesów publicznych, takich jak bezpieczeństwa narodowego, obronności, prowadzonych czynności dochodzeniowo-śledczych i prokuratorskich w sprawach karnych lub innych interesów, mianowicie ochrony osoby, której dane dotyczą oraz praw i wolności innych osób.

 

16 Dyrektywa przewiduje w swoim art. 14, że państwa członkowskie przyznają osobie, której dane dotyczą, w pewnych warunkach prawo sprzeciwu co do przetwarzania dotyczących jej danych.

 

17 Zgodnie z art. 17 ust. 1 akapit drugi dyrektywy państwa członkowskie zapewniają, aby administrator danych wprowadził odpowiednie środki techniczne i organizacyjne, które uwzględniając stan wiedzy w tej dziedzinie oraz koszt realizacji, zapewnią poziom bezpieczeństwa odpowiedni do zagrożeń wynikających z przetwarzania danych oraz charakteru danych objętych ochroną.

 

18 Zgodnie z art. 22 i art. 23 ust. 1 dyrektywy państwa członkowskie zapewnią każdej osobie prawo do korzystania ze środków prawnych w związku z naruszeniem praw zagwarantowanych jej przez przepisy krajowe dotyczące przetwarzania danych oraz każdej osobie, która poniosła szkodę wskutek niezgodnej z prawem operacji przetwarzania danych lub innej czynności niezgodnej z przepisami krajowymi przyjętymi zgodnie z niniejszą dyrektywą, odszkodowanie od administratora danych za poniesioną szkodę.

 

Uregulowania krajowe

 

19 Dyrektywa została transponowana do prawa niderlandzkiego przez ogólny akt prawny, Wet bescherming persoonsgegevens (ustawę o ochronie danych osobowych). Ponadto na potrzeby wykonania dyrektywy przyjęte zostały ustawy szczególne. Taką ustawą jest ustawa sporna w niniejszym postępowaniu, mianowicie Wet gemeentelijke basisadministratie persoonsgegevens (ustawa o danych osobowych będących w posiadaniu administracji gminnej, Stb. 1994, nr 494, zwana dalej „Wet GBA”).

 

20 Artykuł 103 ust. 1 Wet GBA przewiduje, że w terminie czterech tygodni od złożenia wniosku College przekazuje zainteresowanemu na piśmie informację o tym, czy dotyczące go dane osobowe będące w posiadaniu administracji gminnej zostały przekazane wnioskodawcy lub osobie trzeciej w roku poprzedzającym dzień złożenia wniosku.

 

21 Zgodnie z art. 110 Wet GBA College zachowuje wzmiankę o udzieleniu tej informacji przez okres roku po ich udzieleniu, chyba że fakt udzielenia tych informacji wynika z bazy danych w inny sposób.

 

22 Z uwag na piśmie przedłożonych przez College wynika, że dane przechowywane przez gminę dotyczą w szczególności nazwiska, daty urodzenia, numeru identyfikacji dla celów administracyjnych, numeru identyfikacji dla celów ubezpieczenia społecznego i podatkowych, gminy, która dokonała wpisu, adresu, daty wpisu, stanu cywilnego, kurateli, władzy sprawowanej nad małoletnimi, narodowości i w przypadku cudzoziemców prawa do pobytu.

 

Postępowanie przed sądem krajowym i pytanie prejudycjalne


23 Pismem z dnia 26 października 2005 r. M.E.E. Rijkeboer złożył do College wniosek o poinformowanie go o wszystkich przypadkach, w których dotyczące go dane, pochodzące od administracji gminnej, zostały przekazane osobom trzecim w okresie dwóch lat poprzedzających złożenie przez niego wniosku. Pragnął poznać tożsamość tych osób oraz treść przekazanych im informacji. M.E.E. Rijkeboer, który przeprowadził się do innej gminy, pragnął dowiedzieć się w szczególności, komu został przekazany jego stary adres.

 

24 Decyzjami z dnia 27 października i z dnia 29 listopada 2005 r. College przychylił się do tego wniosku jedynie w części i udzielił mu jedynie informacji dotyczących okresu jednego roku poprzedzającego dzień złożenia przez niego wniosku, stosując art. 103 ust. 1 Wet GBA.

 

25 Udzielenie informacji jest rejestrowane przez Logisch Ontwerp GBA. Chodzi tu o zautomatyzowany system, utworzony przez Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (ministerstwo spraw wewnętrznych i interesów Królestwa Niderlandów). Z wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika, że dane, o których udostępnienie wystąpił M.E.E. Rijkeboer, które w dniu złożenia wniosku były starsze niż rok, zostały automatycznie wykasowane, zgodnie z przepisami art. 110 Wet GBA.

 

26 M.E.E. Rijkeboer wniósł do College sprzeciw od decyzji odmawiającej udzielenia mu informacji dotyczącej odbiorców, którym dotyczące go dane zostały przekazane w okresie wcześniejszym niż rok poprzedzający złożenie wniosku. W związku z tym, że sprzeciw ten został oddalony decyzją z dnia 13 lutego 2006 r., M.E.E. Rijkeboer wniósł skargę do Rechtbank Rotterdam.

 

27 Sąd ten przychylił się do żądań skargi, uznając, że ograniczenie prawa do bycia poinformowanym do informacji o danych osobowych przekazanych odbiorcom do roku poprzedzającego złożenie wniosku, tak jak to przewiduje art. 103 ust. 1 Wet GBA, nie jest zgodne z art. 12 dyrektywy 95/46/WE. Zdaniem tego sądu nie mają również zastosowania wyjątki wyliczone w art. 13 tej dyrektywy.

 

28 College wniósł odwołanie do Raad van State. Sąd ten stwierdza, że art. 12 dyrektywy dotyczący prawa dostępu do danych osobowych nie wskazuje okresu, w którym prawo to powinno móc być wykonywane. Zdaniem tego sądu artykuł ten nie zabrania jednak koniecznie ustawodawcy krajowemu ograniczenia w czasie prawa osoby, której dane dotyczą, do bycia poinformowaną o odbiorcach, którym przekazane zostały dotyczące jej dane osobowe, ma jednak wątpliwości w tym przedmiocie.

 

29 W tych okolicznościach Raad van State postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym:
„Czy przewidziane przez ustawę […] ograniczenie informacji o danych osobowych do roku poprzedzającego złożenie stosownego wniosku jest zgodne z art. 12 lit. a) [dyrektywy] w związku bądź nie z art. 6 ust. 1 lit. e) tej dyrektywy oraz z zasadą proporcjonalności?”.

 

W przedmiocie pytania prejudycjalnego


30 Tytułem wstępu należy przypomnieć, że w ramach systemu współpracy sądowej ustanowionej na mocy art. 234 WE do Trybunału należy wykładnia przepisów prawa wspólnotowego. Jeśli chodzi natomiast o przepisy krajowe, trzeba przypomnieć, że w ramach tego systemu ich wykładnia należy do sądów krajowych (zob. wyrok z dnia 14 lutego 2008 r. w sprawie C-449/06 Gysen, Zb.Orz. s. I‑553, pkt 17).

 

31 W związku z tym pytanie przedłożone przez sąd krajowy należy rozumieć w ten sposób, że ma ono w istocie na celu wyjaśnienie, czy zgodnie z dyrektywą, w szczególności zgodnie z jej art. 12 lit. a), prawo dostępu danej osoby do informacji o odbiorach lub kategorii odbiorców dotyczących jej danych osobowych oraz treści przekazanych danych może zostać ograniczone do okresu roku poprzedzającego złożenie wniosku o udzielenie informacji.

 

32 Sąd ten powołał się szczególnie na dwa przepisy dyrektywy, mianowicie art. 6 ust. 1 lit. e), dotyczący przechowywania danych osobowych, i art. 12 lit. a), dotyczący prawa dostępu do tych danych. Natomiast ani tenże sąd, ani żaden z uczestników postępowania, którzy przedstawili Trybunałowi uwagi, nie przywołali wyjątków przewidzianych w art. 13 dyrektywy.

 

33 Artykuł 6 dyrektywy dotyczy jakości danych. Jego ust. 1 nakłada na państwa członkowskie obowiązek zapewnienia, aby dane osobowe nie były przechowywane przez czas dłuższy niż jest to konieczne do celów, dla których dane zostały zgromadzone lub dla których są dalej przetwarzane. Dane powinny zatem zostać usunięte, gdy cele te zostały osiągnięte.

 

34 Artykuł 12 lit. a) dyrektywy przewiduje, że państwa członkowskie zapewniają każdej osobie, której dane dotyczą, prawo dostępu do dotyczących jej danych osobowych oraz informacji o odbiorcach lub kategoriach odbiorców tych danych, nie określając żadnego terminu.

 

35 Te dwa artykuły mają więc na celu ochronę osoby, której dane dotyczą. Sąd krajowy pragnie dowiedzieć się, czy pomiędzy tymi dwoma artykułami istnieje związek tego rodzaju, iż prawo dostępu do informacji o odbiorcach lub kategoriach odbiorców danych osobowych oraz treści przekazanych danych mogłoby zależeć od okresu przechowywania tych danych.

 

36 Uwagi przedstawione Trybunałowi wskazują odmienne punkty widzenia kwestii interakcji pomiędzy tymi dwoma przepisami.

 

37 College oraz rządy niderlandzki, czeski, hiszpański i Zjednoczonego Królestwa twierdzą, że prawo dostępu do informacji o odbiorcach lub kategoriach odbiorców danych osobowych, o którym mówi art. 12 lit. a) dyrektywy, istnieje jedynie w odniesieniu do teraźniejszości, a nie przeszłości. W związku z tym gdy dane zostaną usunięte zgodnie z uregulowaniem krajowym, osoba, której dane dotyczą, nie może już uzyskać do nich dostępu. Taka konsekwencja nie jest ich zdaniem niezgodna z dyrektywą.

 

38 College oraz rząd niderlandzki podnoszą również, że art. 103 ust. 1 Wet GBA, zgodnie z którym gmina informuje osobę, na jej wniosek, o dotyczących jej danych osobowych przekazanych odbiorcom w roku poprzedzającym dzień złożenia przez nią wniosku, wykracza poza wymogi ustanowione przez dyrektywę.

 

39 Z kolei Komisja i rząd grecki twierdzą, że dyrektywa przewiduje prawo dostępu do informacji nie tylko w odniesieniu do teraźniejszości, ale również w odniesieniu do okresu poprzedzającego złożenie wniosku o udzielenie dostępu. Mają jednak odmienne zdanie co do dokładnego okresu ważności tego prawa dostępu.

 

40 Aby ocenić zakres prawa dostępu, które dyrektywa ma uczynić możliwym, należy w pierwszej kolejności określić dane, których dotyczy prawo dostępu, a następnie odwołać się do celu artykułu 12 lit. a) dyrektywy, badanego w świetle celów tejże dyrektywy.

 

41 W przypadkach takich jak niniejszy przypadek M.E.E. Rijkeboera w grę wchodzą dwie kategorie danych.

 

42 Pierwsza kategoria dotyczy danych o charakterze prywatnym, przechowywanych przez gminę w odniesieniu do danej osoby, takich jak jej nazwisko i adres, które stanowią w niniejszej sprawie dane podstawowe. Z uwag ustnych przedstawionych przez College i rząd niderlandzki wynika, że mogą być one przechowywane przez długi okres czasu. Stanowią one „dane osobowe” w rozumieniu art. 2 lit. a) dyrektywy 95/46, ponieważ mamy tutaj do czynienia z informacjami dotyczącymi zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (zob. podobnie wyroki: z dnia 20 maja 2003 r. w sprawach połączonych C‑465/00, C‑138/01 i C‑139/01 Österreichischer Rundfunk i in., Rec. s. I‑4989, pkt 64; z dnia 6 listopada 2003 r. w sprawie C‑101/01 Lindqvist, Rec. s. I‑12971, pkt 24; a także z dnia 16 grudnia 2008 r. w sprawie C‑524/06 Huber, dotychczas nieopublikowany w Zbiorze, pkt 43).

 

43 Druga kategoria dotyczy informacji o odbiorcach lub kategoriach odbiorców, którym te dane podstawowe zostały przekazane, oraz treści tych przekazanych danych, a w związku z tym – przetwarzania danych podstawowych. Zgodnie z uregulowaniem krajowym spornym w sprawie przed sądem krajowym informacja ta jest przechowywana jedynie przez okres jednego roku.

 

44 Ograniczenie w czasie prawa dostępu do informacji o odbiorcy lub odbiorcach danych osobowych oraz treści przekazanych danych, o które chodzi w sprawie przed sądem

krajowym, dotyczy również tej drugiej kategorii danych.

 

45 W celu określenia, czy art. 12 lit. a) dyrektywy upoważnia, czy też nie, do takiego ograniczenia w czasie, należy dokonać wykładni tego artykułu w kontekście jego celu, badanego w świetle celów realizowanych przez dyrektywę.

 

46 Zgodnie z art. 1 dyrektywy przedmiotem jej jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do prywatności w odniesieniu do przetwarzania danych osobowych i umożliwienie swobodnego przepływu tych danych między państwami członkowskimi.

 

47 Na znaczenie ochrony prywatności wskazują szczególnie motywy 2 i 10 dyrektywy. Podkreśla je również orzecznictwo Trybunału (zob. podobnie ww. wyroki: w sprawie Österreichischer Rundfunk i in., pkt 70; w sprawie Lindqvist, pkt 97, 99; a także wyroki: z dnia 29 stycznia 2008 r. w sprawie C‑275/06 Promusicae, Zb. Orz. s. I‑271, pkt 63; z dnia 16 grudnia 2008 r. w sprawie C‑73/07 Satakunnan Markkinapörssi i Satamedia, Zb.Orz. s. I‑7075, pkt 52).

 

48 Ponadto, co wynika również z motywu 25 dyrektywy, zasady ochrony muszą znajdować odzwierciedlenie z jednej strony w obowiązkach nałożonych na osoby odpowiedzialne za przetwarzanie danych, zwłaszcza w zakresie jakości danych – co jest przedmiotem art. 6 dyrektywy – jak również, z drugiej strony, w prawie osób, których dotyczące dane są przedmiotem przetwarzania, do bycia o przetwarzaniu poinformowanym, do uzyskania dostępu do danych, żądania poprawek lub nawet sprzeciwu wobec przetwarzania danych w niektórych przypadkach.

 

49 To prawo do poszanowania życia prywatnego implikuje, że osoba, której dane dotyczą, może upewnić się, iż te dane osobowe są przetwarzane prawidłowo oraz legalnie, to znaczy, w szczególności, że dotyczące jej dane podstawowe są prawidłowe i skierowane do uprawnionych odbiorców. Jak stanowi również motyw 41 dyrektywy, aby móc dokonać koniecznych weryfikacji, osoba, której dane dotyczą, musi mieć możliwość skorzystania z prawa dostępu do dotyczących jej danych, które poddane są przetwarzaniu.

 

50 W tym kontekście art. 12 lit. a) dyrektywy przewiduje prawo dostępu do danych podstawowych oraz informacji o odbiorcach lub kategoriach odbiorców tych danych.

 

51 To prawo dostępu jest niezbędne dla umożliwienia osobie, której dotyczą dane, wykonywania praw przewidzianych w art. 12 lit. b) i c), mianowicie, w przypadku gdy przetwarzanie danych nie jest zgodne z dyrektywą, prawa uzyskania od administratora danych sprostowania, usunięcia lub zablokowania dotyczących go danych (pkt b)) lub zawiadomienia osób trzecich, którym dane te zostały przekazane, o sprostowaniu, usunięciu lub zablokowaniu danych, o ile nie okaże się to niemożliwe lub nie będzie wymagało niewspółmiernie dużego wysiłku (pkt c)).

 

52 To prawo dostępu jest niezbędne również dla umożliwienia osobie, której dotyczą dane, wykonywania prawa sprzeciwu wobec przetwarzania jej danych osobowych, o którym mowa w art. 14 dyrektywy, lub prawa do korzystania ze środków prawnych w związku z poniesioną szkodą, przewidzianego w art. 22 i 23 tej dyrektywy.

 

53 Jeżeli chodzi o prawo dostępu do informacji o odbiorcach lub kategoriach odbiorców danych podstawowych oraz treści przekazanych danych, dyrektywa nie precyzuje, czy prawo to odnosi się do przeszłości, ani – w takim przypadku – o jaki okres w przeszłości ewentualnie chodzi.

 

54 W tym kontekście należy stwierdzić, że w celu zagwarantowania skuteczności (effet utile) przepisów wymienionych w pkt 51 i 52 niniejszego wyroku prawo to musi koniecznie odnosić się do przeszłości. Gdyby tak nie było, zainteresowana osoba nie byłaby w stanie efektywnie wykonać swojego prawa do sprostowania, usunięcia lub zablokowania dotyczących jej danych potencjalnie nielegalnych lub nieprawidłowych, ani też do wniesienia środków prawnych i uzyskania naprawienia poniesionej szkody.

 

55 Powstaje pytanie dotyczące zakresu tego prawa w odniesieniu do przeszłości.

 

56 Trybunał orzekł już, że przepisy dyrektywy są dość ogólne, biorąc pod uwagę fakt, że ma ona mieć zastosowanie do znacznej liczny różnych sytuacji i że dyrektywa zawiera zasady charakteryzujące się pewną elastycznością, pozostawiające w wielu przypadkach określenie szczegółów lub wybór jednej z możliwości państwom członkowskim (zob. ww. wyrok w sprawie Lindqvist, pkt 83). Trybunał uznał zatem, że państwa członkowskie dysponują w ramach transpozycji dyrektywy w wielu kwestiach pewnym marginesem działania (zob. ww. wyrok w sprawie Lindqvist, pkt 84). Ten margines działania, który może być zweryfikowany w odniesieniu do transpozycji art. 12 lit. a) dyrektywy, nie jest jednakże nieograniczony.

 

57 Ustanowienie okresu wykonywania prawa dostępu do informacji o odbiorcach lub kategoriach odbiorców danych podstawowych oraz treści przekazanych danych powinno umożliwić osobie, której dotyczą dane, wykonanie różnych praw przewidzianych przez dyrektywę i przywołanych w pkt 51 i 52 niniejszego wyroku.

 

58 Okres przechowywania danych podstawowych może stanowić użyteczny parametr, niebędący jednak parametrem decydującym.

 

59 Otóż, jak orzekł już Trybunał, zakres zastosowania dyrektywy jest bardzo szeroki (zob. ww. wyroki: w sprawie Österreichischer Rundfunk i in., pkt 43; a także w sprawie Lindqvist, pkt 88) i dane osobowe, których ta dyrektywa dotyczy, są różnego rodzaju. Okres przechowywania tych danych, definiowany zgodnie z brzmieniem art. 6 ust. 1 lit. e) dyrektywy w zależności od celów, dla których zostały one zgromadzone lub były następnie przetwarzane, może być zatem różny. Jako że okres przechowywania danych podstawowych jest bardzo długi, interes osoby, której dane dotyczą, w dokonaniu interwencji i skorzystaniu ze środków prawnych wymienionych w pkt 57 niniejszego wyroku, może, w pewnych przypadkach, maleć. Jeżeli, dla przykładu, odbiorcy tych danych są liczni lub częstotliwość przekazywania danych bardziej ograniczonemu kręgowi odbiorców jest wysoka, obowiązek przechowywania przez tak długi czas informacji o odbiorcach lub kategoriach odbiorców danych podstawowych oraz treści przekazanych danych mógłby reprezentować nadmierne obciążenie dla administratora danych.

 

60 Otóż dyrektywa nie wymaga od państw członkowskich nałożenia takiego obciążenia na administratora danych.

 

61 Artykuł 12 lit. a) dyrektywy przewiduje wyraźnie zastrzeżenie w stosunku do obowiązku administratora danych zawiadomienia osób trzecich, którym dane te zostały przekazane, o sprostowaniu, usunięciu lub zablokowaniu danych, mianowicie, gdy okaże się to niemożliwe lub będzie wymagało niewspółmiernie dużego wysiłku.

 

62 Zgodnie z innymi fragmentami dyrektywy pod uwagę można brać nieproporcjonalny charakter, jaki mogą ujawnić pewne środki. Jeżeli chodzi o obowiązek informowania osoby, której dane dotyczą, motyw 40 dyrektywy stanowi, że można brać pod uwagę liczbę osób, których dane dotyczą, oraz wiek danych. Ponadto zgodnie z art. 17 dyrektywy, dotyczącym bezpieczeństwa przetwarzania danych, państwa członkowskie zapewniają, aby administrator danych wprowadził odpowiednie środki techniczne i organizacyjne, które uwzględniając stan wiedzy w tej dziedzinie oraz koszt realizacji, zapewnią poziom bezpieczeństwa odpowiedni do zagrożeń wynikających z przetwarzania danych oraz charakteru danych objętych ochroną.

 

63 Analogiczne względy mają znaczenie w odniesieniu do ustalenia okresu wykonywania prawa dostępu do informacji o odbiorcach lub kategoriach odbiorców danych podstawowych oraz treści przekazanych danych. Poza względami przywołanymi w pkt 57 niniejszego wyroku państwa członkowskie mogą wziąć pod uwagę rozliczne parametry, w szczególności przepisy prawa krajowego mające zastosowanie do terminów na wniesienie środka prawnego, bardziej lub mniej wrażliwy charakter danych podstawowych, okres przechowywania tych danych oraz liczbę ich odbiorców.

 

64 Do państw członkowskich należy również określenie okresu przechowywania informacji o odbiorcach lub kategoriach odbiorców danych podstawowych oraz treści przekazanych danych oraz przewidzenie dostępu do tej informacji, który stanowiłby rezultat właściwego wyważenia między, z jednej strony, interesem osoby, której dane dotyczą, w ochronie jej życia prywatnego, w szczególności za pośrednictwem praw do sprostowania, usunięcia lub zablokowania danych i w przypadku niezgodności ich przetwarzania z dyrektywą, również prawa sprzeciwu oraz prawa do wniesienia środka prawnego, a z drugiej strony – obciążeniem, jakie obowiązek przechowywania tej informacji reprezentuje dla administratora danych.

 

65 Ponadto dokonując określenia tego okresu, należy również wziąć pod uwagę wynikające z art. 6 lit. e) dyrektywy obowiązki zapewnienia, aby dane osobowe były przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez czas nie dłuższy niż jest to konieczne do celów, dla których dane zostały zgromadzone lub dla których są dalej przetwarzane.

 

66 W niniejszej sprawie uregulowanie ograniczające przechowywanie informacji o odbiorcach lub kategoriach odbiorców danych podstawowych oraz treści przekazanych danych do okresu jednego roku i ograniczające odpowiednio dostęp do tej informacji, podczas gdy dane podstawowe są przechowywane znacznie dłużej, nie stanowi rezultatu właściwego wyważenia rozpatrywanych interesów i obowiązków, chyba żeby zostało wykazane, że dłuższe przechowywanie tej informacji stanowiłoby nadmierne obciążenie administratora danych. Do sądu krajowego należy jednak dokonanie niezbędnych weryfikacji w świetle motywów przywołanych w poprzednich punktach.

 

67 W świetle powyższych rozważań argument niektórych państw członkowskich, jakoby stosowanie art. 10 i 11 dyrektywy czyniło zbędnym przyznawanie w odniesieniu do przeszłości prawa dostępu do informacji o odbiorcach lub kategoriach odbiorców, przewidzianego w art. 12 lit. a) dyrektywy, nie może zostać uwzględniony.

 

68 Otóż należy stwierdzić, że art. 10 i 11 dyrektywy nakładają na administratora danych lub jego przedstawiciela obowiązki poinformowania osoby, której dane dotyczą, w pewnych okolicznościach, w szczególności o odbiorcach lub kategoriach odbiorców danych. Administrator danych lub jego przedstawiciel powinni sami udzielić tej informacji osobie, której dane dotyczą, w szczególności w momencie uzyskania tych danych lub jeżeli nie zostały uzyskane bezpośrednio od niej – w momencie zarejestrowania danych lub ewentualnie w momencie przekazania ich osobie trzeciej.

 

69 Przepisy te mają zatem na celu ustanowienie obowiązków innych aniżeli obowiązki wynikające z art. 12 lit. a) dyrektywy. W konsekwencji nie redukują one w żaden sposób nałożonego na państwa członkowskie obowiązku ustanowienia obowiązku administratora danych do udostępnienia osobie, której dane dotyczą, dostępu do informacji o odbiorach lub kategorii odbiorców dotyczących jej danych osobowych oraz treści przekazanych danych, gdy osoba ta zdecyduje się wykonać prawo dostępu, przyznane jej przez art. 12 lit. a). Państwa członkowskie powinny przyjąć środki dokonujące transpozycji z jednej strony przepisów art. 10 i 11 dyrektywy dotyczących obowiązku informowania, a z drugiej strony przepisów art. 12 lit. a) dyrektywy, przy czym te pierwsze nie mogą osłabiać obowiązków wynikających z tych drugich.

 

70 W związku z tym na przedłożone Trybunałowi pytanie należy odpowiedzieć następujący sposób:
– Artykuł 12 lit. a) dyrektywy nakłada na państwa członkowskie obowiązek ustanowienia prawa dostępu do informacji o odbiorach lub kategorii odbiorców dotyczących jej danych osobowych oraz treści przekazanych danych nie tylko w odniesieniu do teraźniejszości, lecz również w odniesieniu do przeszłości. Do państw członkowskich należy określenie okresu przechowywania tej informacji oraz odpowiedniego dostępu do tej informacji, który stanowiłby rezultat właściwego wyważenia między, z jednej strony, interesem osoby, której dane dotyczą, w ochronie jej życia prywatnego, w szczególności za pośrednictwem prawa interwencji oraz prawa do wniesienia środka prawnego przewidzianych przez dyrektywę, a z drugiej strony – obciążeniem, jakie obowiązek przechowywania tej informacji reprezentuje dla administratora danych.
– Uregulowanie ograniczające przechowywanie informacji o odbiorcach lub kategoriach odbiorców danych podstawowych oraz treści przekazanych danych do okresu jednego roku i ograniczające odpowiednio dostęp do tej informacji, podczas gdy dane podstawowe są przechowywane znacznie dłużej, nie stanowi rezultatu właściwego wyważenia rozpatrywanych interesów i obowiązków, chyba żeby zostało wykazane, że dłuższe przechowywanie tej informacji stanowiłoby nadmierne obciążenie dla administratora danych. Do sądu krajowego należy dokonanie niezbędnych weryfikacji.

 

W przedmiocie kosztów


71 Dla stron postępowania przed sądem krajowym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed tym sądem; do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż poniesione przez strony postępowania przed sądem krajowym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (trzecia izba) orzeka, co następuje:

Artykuł 12 lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych nakłada na państwa członkowskie obowiązek ustanowienia prawa dostępu do informacji o odbiorach lub kategorii odbiorców dotyczących jej danych osobowych oraz treści przekazanych danych nie tylko w odniesieniu do teraźniejszości, lecz również w odniesieniu do przeszłości. Do państw członkowskich należy określenie okresu przechowywania tej informacji oraz odpowiedniego dostępu do tej informacji, który stanowiłby rezultat właściwego wyważenia między, z jednej strony, interesem osoby, której dane dotyczą, w ochronie jej życia prywatnego, w szczególności za pośrednictwem prawa interwencji oraz prawa do wniesienia środka prawnego, przewidzianych przez dyrektywę 95/46, a z drugiej strony – obciążeniem, jakie obowiązek przechowywania tej informacji reprezentuje dla administratora danych.

Uregulowanie ograniczające przechowywanie informacji o odbiorcach lub kategoriach odbiorców danych podstawowych oraz treści przekazanych danych do okresu jednego roku i ograniczające odpowiednio dostęp do tej informacji, podczas gdy dane podstawowe są przechowywane znacznie dłużej, nie stanowi rezultatu właściwego wyważenia rozpatrywanych interesów i obowiązków, chyba żeby zostało wykazane, że dłuższe przechowywanie tej informacji stanowiłoby nadmierne obciążenie dla administratora danych. Do sądu krajowego należy dokonanie niezbędnych weryfikacji.

Słowa kluczowe:
obowiązek informacyjny

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x