Prawo informacji o przetwarzaniu danych osobowych obejmuje także uprawnienie do żądania od administratora kopii tych danych. Jak to zwykle bywa, diabeł tkwi w szczegółach, zatem temat można drążyć dalej: czy przepis ten należy interpretować w ten sposób, że administrator może przesłać zestawienie informacji o przetwarzaniu danych osobowych, czy jednak kopia to kopia — czyli wierne odwzorowanie oryginału?
wyrok Trybunału Sprawiedliwości UE z 4 maja 2023 r. w/s Österreichische Datenschutzbehörde / CRIF GmbH (C-487/21)
1) Prawo do uzyskania od administratora kopii danych osobowych podlegających przetwarzaniu oznacza przekazanie osobie, której dane dotyczą, wiernej i zrozumiałej kopii wszystkich oryginałów tych danych. Prawo to obejmuje prawo do uzyskania kopii fragmentów dokumentów lub całych dokumentów, lub też wyciągów z baz danych, które zawierają między innymi te dane, jeżeli dostarczenie takiej kopii jest niezbędne do umożliwienia osobie, której dane dotyczą, skutecznego wykonywania praw przyznanych jej przez to rozporządzenie, przy czym wymaga podkreślenia, że należy w tym względzie uwzględnić prawa i wolności innych osób.
2) Pojęcie „informacji”, o którym mowa w [art. 15 ust. 3 RODO], odnosi się wyłącznie do danych osobowych, których kopię administrator musi dostarczyć zgodnie ze zdaniem pierwszym tego ustępu.
Sprawa zaczęła się od przesłanego do biura informacji gospodarczej (CRIF GmbH) żądania przekazania informacji o przetwarzanych danych, w tym ich kopii. W odpowiedzi firma wysłała „streszczenie wykazu” — tabelkę, w której ujęła podstawowe dane osobowe (imię i nazwisko, data urodzenia, adres) oraz informacje o zatrudnieniu, ale nie przedstawiła ani korespondencji dotyczącej osoby, ani wyciągów z baz danych.
Zdaniem zainteresowanego oznaczało to, że kopia danych osobowych była niekompletna, zatem złożył skargę na administratora. Österreichische Datenschutzbehörde (organ ochrony danych) nie dopatrzył się nieprawidłowości i skargę oddalił.
Spór trafił do Bundesverwaltungsgericht (federalnego sądu administracyjnego), który zwrócił uwagę, iż można mieć wątpliwości, czy realizacja prawa dostępu może polegać wyłącznie na dostarczeniu zestawienia informacji o przetwarzanych danych — czy jednak administrator powinien przedstawić dane źródłowe, w tym kopie baz danych i prowadzonej korespondencji.
art. 15 ust. 1 i 3 RODO
1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji (…)
3. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.
W wydanym wczoraj wyroku Trybunał Sprawiedliwości UE stwierdził, że celem prawa dostępu przysługującego osobie, której dane dotyczą jest umożliwienie upewnienia się, że dane osobowe są prawidłowe i przetwarzane w sposób zgodny z prawem, a także realizacja prawa do sprostowania, usunięcia lub ograniczenia przetwarzania danych. Dlatego też informacje udzielane przez administratora powinny być przekazywane w taki sposób, by każdy mógł skorzystać z przysługujących mu uprawnień. Literalnie kopia danych osobowych, o której mowa w tym przepisie to wierne powielenie oryginału, a nie zestawienie przetworzonych informacji (dla uproszczenia: jeśli coś kopiujemy, to mamy efekt w postaci 1:1 pierwotnego materiału, a nie jego opracowanie); dostarczenie całych dokumentów czy wyciągów z baz danych może być wszakże niezbędne do zrozumienia kontekstu przetwarzania.
Wcale nie na marginesie TSUE wyjaśnił, że obowiązek przesłania informacji w „powszechnie stosowanej formie elektronicznej” dotyczy tylko danych osobowych (ich kopii), nie zaś informacji wskazanych w art. 15 ust. 1 RODO (tj. o celach przetwarzania, odbiorcach, źródle danych, etc.) — co wcale nie wyklucza obowiązku udzielenia odpowiedzi drogą elektroniczną (art. 12 ust. 3 RODO).