Każdy ma prawo wiedzieć komu zostały przekazane dotyczące go dane osobowe - wyrok Trybunału Sprawiedliwości Unii Europejskiej C‑154/21
W wydanym dziś wyroku Trybunał stwierdził, że administrator, wykonując prawo dostępu do danych, jest zobowiązany wskazać osobie, której dane dotyczą, na jej wniosek, dokładną tożsamość tych odbiorców.
.png)
Jedynie, jeżeli nie jest (jeszcze) możliwe zidentyfikowanie tych odbiorców, administrator może ograniczyć się do wskazania wyłącznie kategorii odnośnych odbiorców. Jest tak również wówczas, gdy administrator danych wykaże, że wniosek jest ewidentnie nieuzasadniony lub nadmierny.
Wyrok zapadł w sprawie, w której obywatel Austrii złożył wniosek o przekazanie informacji dotyczących tożsamości odbiorców, którym Österreichische Post (główna poczta austriacka) przekazała dotyczące go dane osobowe. Podmiot odpowiedział, że “wykorzystuje dane osobowe w zakresie zgodnym z prawem w ramach swej działalności wydawcy książek adresowych i oferuje te dane swoim partnerom handlowym do celów marketingowych” Obywatel ten pozwał Österreichische Post przed sądami austriackimi, ponieważ podmiot nie podał mu konkretnych tożsamości odbiorców jego danych osobowych, przez co nie mógł skorzystać z praw przysługujących mu w związku z RODO.
W uzasadnieniu wyroku TSUE zauważył, że użyte w art. 15 ust. 1 lit. c) RODO pojęcia “odbiorcy” i „kategorii odbiorców” nie umożliwiają ustalić, które z nich ma pierwszeństwo. W związku z tym TSUE zauważył również, że literalne brzmienie tego przepisu nie pozwala ustalić w sposób jednoznaczny, czy osoba, której dane dotyczą, ma prawo do uzyskania informacji, w przypadku gdy dotyczące jej dane osobowe zostały lub zostaną ujawnione, o konkretnej tożsamości ich odbiorców tych danych.
W dalszych rozważaniach TSUE doszedł jednak do wniosku, że aby zagwarantować skuteczność praw przysługujących na podstawie RODO osobie, której dane dotyczą, powinna ona znać dokładną tożsamość konkretnych odbiorców, w przypadku gdy jej dane osobowe zostały już ujawnione. Ww. tezę TSUE w pierwszej kolejności uzasadnił tym, że zgodnie motyw 63 RODO, osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, w szczególności dotyczących odbiorców tych danych osobowych. Ponadto, Trybunał powołał się na wynikającą z art. 5 ust. 1 lit. a) RODO zasadę przejrzystości, z której, w oparciu o motyw 39 RODO, wywiódł, że osoba, której dane dotyczą, powinna posiadać informacje o sposobie przetwarzania jej danych osobowych, oraz wymaga, aby informacje te były łatwo dostępne i zrozumiałe.
Interesujący jest natomiast wniosek, do którego TSUE doszedł, porównując treść art. 15 ust. 1 lit. c) z art. 13 i 14 RODO, które przewidują obowiązek spełnienie obowiązku informacyjnego i również posługują się pojęciami “odbiorcy” i „kategorii odbiorców”. Otóż zdaniem TSUE, w przeciwieństwie do art. 13 i 14 RODO, art. 15 przewiduje rzeczywiste prawo dostępu na rzecz osoby, której dane dotyczą, w taki sposób, aby miała ona możliwość wyboru i uzyskania albo informacji dotyczących konkretnych odbiorców, którym dane zostały lub zostaną ujawnione, jeżeli jest to możliwe, albo informacji dotyczących kategorii odbiorców.
Czy przedmiotowy wyrok oznacza, że administratorzy danych osobowych spełniając obowiązek informacyjny zgodnie art. 13 i 14 RODO będa musieli również wskazywać dokładną tożsamość odbiorców danych osobowych? Wyrok wprost tej kwestii nie przesądza. Wydaje się jednak, że z dokonanego przez TSUE porównania treści art. 13 i 14 RODO z art. 15 wynika, że obowiązek wskazania dokładnej tożsamości odbiorców danych osobowych jest wyłącznie częścią prawa dostępu do danych.
Oficjalny komunikat prasowy:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-01/cp230004pl.pdf
Pełna treść wyroku:
Autorem artykułu jest radca prawny: Jakub Pawłowski.
.png)
