Administrator, który ujawniał dane osobowe, powinien poinformować o konkretnych odbiorcach, a nie „kategoriach odbiorców” (TSUE)

Zgodnie z RODO prawo dostępu do informacji o przetwarzaniu danych osobowych obejmuje m.in. wskazanie odbiorców lub kategorii odbiorców, którym dane ujawniono. Czy spójnik „lub” oznacza, że to administrator może decydować o prawach przysługujących zainteresowanym — kiedy poinformuje o konkretnych odbiorcach, a kiedy poprzestanie na kategoriach odbiorców? Czy jednak informacja o odbiorcach, którym ujawniono dane osobowe powinna wskazywać tożsamość konkretnego odbiorcy — jeśli zainteresowana osoba sobie tego życzy, a dane zostały rzeczywiście przekazane innemu podmiotowi?

wyrok Trybunału Sprawiedliwości z 12 stycznia 2023 r. w/s Österreichische Post AG (C-154/21)
[Określone w art. 15 ust. 1 lit. c) RODO] prawo dostępu osoby, której dane dotyczą, do dotyczących jej danych osobowych oznacza, w przypadku gdy dane te zostały lub zostaną ujawnione odbiorcom, że na administratorze danych ciąży obowiązek podania tej osobie dokładnej tożsamości tych odbiorców, chyba że nie jest możliwe zidentyfikowanie tych odbiorców lub tenże administrator danych wykaże, że wnioski o uzyskanie dostępu złożone przez osobę, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne w rozumieniu art. 12 ust. 5 rozporządzenia 2016/679, w których to przypadkach administrator ten może wskazać tej osobie wyłącznie kategorie odnośnych odbiorców.

Sprawa zaczęła się od złożonego do austriackiego operatora pocztowego wniosku o dostęp do przetwarzanych danych osobowych wnioskodawcy, w tym także, jeśli dane były ujawniane osobom trzecim, o udzielenie informacji o tożsamości tych odbiorców. W odpowiedzi Österreichische Post wyjaśniła, że jako wydawca książek adresowych wykorzystuje dane w sposób zgodny z prawem, ale też oferuje je swym partnerom w celach marketingowych — a po szczegółowe wyjaśnienia odesłała do swej strony internetowej (zapewne do polityki prywatności).
Zainteresowany wniósł powództwo do sądu, w którym zażądał przekazania konkretnych informacji o odbiorcach danych osobowych; w toku postępowania poczta udzieliła tej informacji (dane otrzymywali m.in. firmy zajmujące się reklamą sprzedaży wysyłkowej, przedsiębiorstwa informatyczne, wydawcy książek adresowych, ale też organizacje charytatywne, NGO, a nawet partie polityczne).

Sąd I instancji oddalił roszczenia: zgodnie z RODO wystarczająca jest informacja o „kategoriach odbiorców”, którym dane zostały ujawnione, zatem nie ma obowiązku podania danych konkretnych odbiorców. Sąd odwoławczy natomiast spostrzegł, iż przepis ten jest o tyle niejasny, że nie wiadomo kto ma decydować o zakresie udzielanych informacji: wnioskodawca, któremu może i wystarczą kategorie, czy administrator, który może ograniczyć się do kategorii odbiorców, nawet jeśli osoba żąda podania konkretnych danych.

art. 15 ust. 1 lit. c) rozporządzenia 2016/679 o ochronie danych osobowych
Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

Sprawa trafiła do TSUE, który przypomniał, że w orzecznictwie utrwalił się pogląd, iż „wykładnia przepisu prawa Unii wymaga uwzględnienia nie tylko jego brzmienia, ale także kontekstu”, a także celów regulacji, zaś jeśli możliwych jest kilka wykładni, pierwszeństwo należy się tej, która zapewnia jego skuteczność (effet utile).
Art. 15 ust. 1 RODO ma na celu zapewnienie prawa dostępu do informacji o przetwarzaniu danych osobowych, w tym o odbiorcach lub kategoriach odbiorców, którym dane osobowe są ujawniane, a to w sposób łatwo dostępny i zrozumiały (a to zgodnie z zasadą przejrzystości, art. 5 ust. 1 lit. a) RODO, motyw 39 RODO). Informacja o podmiotach, którym dane już zostały ujawnione, może być niezbędna do skorzystania np. z prawa do sprostowania lub usunięcia danych, sprzeciwu wobec przetwarzania, a także do wniesienia skargi lub domagania się odszkodowania — a przecież prawidłowe skorzystanie z tych uprawnień wymaga znajomości tożsamości konkretnego podmiotu. (Wcale nie na marginesie TSUE zwrócił uwagę, iż informacja o odbiorcach, którym ujawniono dane, pojawia się w art. 19 RODO, zatem administrator nie powinien się dziwić, że taki wymóg może nań spoczywać.)

Sprawy mają się odmiennie, jeśli udzielenie informacji nie jest możliwe, a to choćby w przypadku, kiedy dane osobowe nie zostały jeszcze żadnemu odbiorcy ujawnione — ale też w sytuacji, kiedy żądania są ewidentnie nieuzasadnione lub nadmierne (art. 12 ust. 5 RODO). W takim przypadku administrator może poprzestać na wskazaniu kategorii odbiorców, a nawet odmówić spełnienia żądania — i teraz zadaniem austriackiego sądu będzie ocenić, czy odmowa Österreichische Post była uzasadniona okolicznościami.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

2 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
2
0
komentarze są tam :-)x