Marco Verch; flickr.com; https://creativecommons.org/licenses/by/2.0/legalcode
Czy administrator może odmówić wnioskodawcy udzielenia skonkretyzowanych informacji o odbiorcach jego danych osobowych?
Choć RODO obowiązuje już od kilku lat, to nadal rodzi sporo wątpliwości co do zasad jego stosowania. Ostatnio TSUE (Trybunał Sprawiedliwości Unii Europejskiej) wydał wyrok, w którym doprecyzował stosowanie art. 15 RODO (wyrok z 12.01.2023 r., sprawa C-154/21).
Zgodnie ze wspomnianym przepisem każdy ma prawo do uzyskania od administratora danych informacji nie tylko o tym, czy jego dane są przetwarzane, ale także o okolicznościach przetwarzania danych, w tym m.in. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione. Sprawa rozpatrywana przez TSUE dotyczyła interpretacji owego „lub”, a dokładniej tego, która strona (administrator czy podmiot danych) decyduje o tym, czy wskazany ma zostać konkretny odbiorca danych czy wyłącznie kategoria tych odbiorców.
Spór dotyczył austriackiego operatora pocztowego, który zapytany został przez wnioskodawcę o tożsamość podmiotów, którym jego dane zostały przekazane. W odpowiedzi na ten wniosek Österreichische Post ograniczyła się do wskazania, że wykorzystuje dane, w zakresie zgodnym z prawem, w ramach swej działalności wydawcy książek adresowych i że oferuje te dane osobowe partnerom handlowym do celów marketingowych. W pozostałym zakresie odesłała ona do strony internetowej w celu uzyskania bardziej szczegółowych informacji. Nie podała zatem wnioskodawcy tożsamości konkretnych odbiorców jego danych. Ten odwołał się do austriackiego sądu. Sądy obu instancji oddaliły pozew przeciwko Österreichische Post wskazując, że art. 15 ust. 1 lit. c) RODO przyznaje administratorowi możliwość wskazania osobie, której dane dotyczą, jedynie kategorii odbiorców, bez konieczności wskazywania ich tożsamości. Wątpliwości w tym zakresie powziął jednak Sąd Najwyższy Austrii i zwrócił się z pytaniem prejudycjalnym do TSUE.
TSUE w uzasadnieniu wyroku w tej sprawie wskazał, że zgodnie z RODO, każdy, kogo dane są przetwarzane, ma prawo do informacji o przetwarzaniu swoich danych, prawa do ich weryfikacji, sprawdzenia czy same dane są prawidłowe, oraz czy są przetwarzane zgodnie z prawem, ma także prawo do żądania sprostowania swoich danych, prawo żądania ich usunięcia („prawa do bycia zapomnianym”) czy też prawo do ograniczenia przetwarzania danych. Trybunał zatem orzekł, że w celu zagwarantowania skuteczności wszystkich tych praw osoby, której dane dotyczą, powinna ona posiadać w szczególności prawo do informacji o tożsamości konkretnych odbiorców, w przypadku gdy jej dane osobowe zostały już ujawnione.
Osoba, której dane dotyczą, może zatem uzyskać od administratora danych informacje o konkretnych odbiorcach, którym jej dane zostały przekazane, lub, alternatywnie, zdecydować się na ograniczenie zażądania do wskazania wyłącznie informacji o kategoriach odbiorców. Wybór więc należy do samego zainteresowanego, a nie do administratora.
Trybunał jednocześnie jednak zastrzegł, że prawo do ochrony danych osobowych nie jest prawem bezwzględnym i należy je postrzegać w świetle jego funkcji społecznej, a także wyważyć z innymi prawami podstawowymi i z zasadą proporcjonalności. W rezultacie Trybunał wskazał, że mogą zaistnieć sytuacje, w których dostarczenie informacji dotyczących konkretnych odbiorców nie będzie możliwe. Wówczas prawo dostępu może być ograniczone do informacji o kategoriach odbiorców, jeżeli nie jest możliwe podanie do wiadomości tożsamości konkretnych odbiorców, w szczególności gdy nie są oni jeszcze znani.
W kontekście tej sprawy Trybunał przypomniał także, że zgodnie z art. 12 ust. 5 lit. b) RODO administrator danych może odmówić uwzględnienia wniosków osoby, której dotyczą dane, jeżeli wnioski te są ewidentnie nieuzasadnione lub nadmierne. W takiej sytuacji, to oczywiście administrator będzie musiał wykazać, że wnioski te mają taktycznie taki właśnie charakter.
Teraz austriacki sąd będzie musiał rozstrzygnąć, czy operator pocztowy zasadnie odmówił wnioskodawcy udzielenia skonkretyzowanych informacji o odbiorcach jego danych osobowych.
Spór dotyczył austriackiego operatora pocztowego, który zapytany został przez wnioskodawcę o tożsamość podmiotów, którym jego dane zostały przekazane. W odpowiedzi na ten wniosek Österreichische Post ograniczyła się do wskazania, że wykorzystuje dane, w zakresie zgodnym z prawem, w ramach swej działalności wydawcy książek adresowych i że oferuje te dane osobowe partnerom handlowym do celów marketingowych. W pozostałym zakresie odesłała ona do strony internetowej w celu uzyskania bardziej szczegółowych informacji. Nie podała zatem wnioskodawcy tożsamości konkretnych odbiorców jego danych. Ten odwołał się do austriackiego sądu. Sądy obu instancji oddaliły pozew przeciwko Österreichische Post wskazując, że art. 15 ust. 1 lit. c) RODO przyznaje administratorowi możliwość wskazania osobie, której dane dotyczą, jedynie kategorii odbiorców, bez konieczności wskazywania ich tożsamości. Wątpliwości w tym zakresie powziął jednak Sąd Najwyższy Austrii i zwrócił się z pytaniem prejudycjalnym do TSUE.
TSUE w uzasadnieniu wyroku w tej sprawie wskazał, że zgodnie z RODO, każdy, kogo dane są przetwarzane, ma prawo do informacji o przetwarzaniu swoich danych, prawa do ich weryfikacji, sprawdzenia czy same dane są prawidłowe, oraz czy są przetwarzane zgodnie z prawem, ma także prawo do żądania sprostowania swoich danych, prawo żądania ich usunięcia („prawa do bycia zapomnianym”) czy też prawo do ograniczenia przetwarzania danych. Trybunał zatem orzekł, że w celu zagwarantowania skuteczności wszystkich tych praw osoby, której dane dotyczą, powinna ona posiadać w szczególności prawo do informacji o tożsamości konkretnych odbiorców, w przypadku gdy jej dane osobowe zostały już ujawnione.
Osoba, której dane dotyczą, może zatem uzyskać od administratora danych informacje o konkretnych odbiorcach, którym jej dane zostały przekazane, lub, alternatywnie, zdecydować się na ograniczenie zażądania do wskazania wyłącznie informacji o kategoriach odbiorców. Wybór więc należy do samego zainteresowanego, a nie do administratora.
Trybunał jednocześnie jednak zastrzegł, że prawo do ochrony danych osobowych nie jest prawem bezwzględnym i należy je postrzegać w świetle jego funkcji społecznej, a także wyważyć z innymi prawami podstawowymi i z zasadą proporcjonalności. W rezultacie Trybunał wskazał, że mogą zaistnieć sytuacje, w których dostarczenie informacji dotyczących konkretnych odbiorców nie będzie możliwe. Wówczas prawo dostępu może być ograniczone do informacji o kategoriach odbiorców, jeżeli nie jest możliwe podanie do wiadomości tożsamości konkretnych odbiorców, w szczególności gdy nie są oni jeszcze znani.
W kontekście tej sprawy Trybunał przypomniał także, że zgodnie z art. 12 ust. 5 lit. b) RODO administrator danych może odmówić uwzględnienia wniosków osoby, której dotyczą dane, jeżeli wnioski te są ewidentnie nieuzasadnione lub nadmierne. W takiej sytuacji, to oczywiście administrator będzie musiał wykazać, że wnioski te mają taktycznie taki właśnie charakter.
Teraz austriacki sąd będzie musiał rozstrzygnąć, czy operator pocztowy zasadnie odmówił wnioskodawcy udzielenia skonkretyzowanych informacji o odbiorcach jego danych osobowych.
Polecam również inne artykuły z tematyki RODO: