Czy organ władzy publicznej wydający monitor sądowy i gospodarczy jest administratorem danych osobowych, jeśli jego rolą jest tylko przepisywać i przedrukowywać ogłoszenia dostarczone przez podmioty? Czy wydawca dziennika urzędowego, który nie ma nawet prawa sprawdzać ani poprawiać treści publikowanych informacji, może odpowiadać za sposób przetwarzania danych w zamieszczanych ogłoszeniach?
wyrok Trybunału Sprawiedliwości UE z 11 stycznia 2024 r. w/s État belge vs. Autorité de protection des données (C-231/22)
1) Jednostka lub podmiot prowadzące dziennik urzędowy państwa członkowskiego, które na mocy ustawodawstwa tego państwa są w szczególności zobowiązane do publikowania w niezmienionej postaci aktów i dokumentów urzędowych sporządzonych przez osoby trzecie na ich własną odpowiedzialność z poszanowaniem obowiązujących przepisów, a następnie przekazanych organowi sądowemu, który kieruje je do nich do publikacji, mogą — mimo że nie posiadają one osobowości prawnej — zostać uznane za „administratora” danych osobowych zawartych w tych aktach i dokumentach, jeżeli odnośne prawo krajowe określa cele i sposoby przetwarzania danych osobowych przez ten dziennik urzędowy.
2) Jednostka lub podmiot prowadzące dziennik urzędowy państwa członkowskiego, uznane za „administratora” w rozumieniu art. 4 pkt 7 RODO, są wyłącznie odpowiedzialne za przestrzeganie zasad, o których mowa w art. 5 ust. 1 RODO, w odniesieniu do operacji przetwarzania danych osobowych, do których wykonywania są one zobowiązane na mocy prawa krajowego, chyba że z prawa tego wynika wspólna odpowiedzialność z innymi podmiotami w odniesieniu do tych operacji.
Sprawa dotyczyła większościowego wspólnika belgijskiej spółki z ograniczoną odpowiedzialnością, w której podjęto uchwałę o obniżeniu kapitału. Notarialny wyciąg z uchwały został przesłany do sądu, sąd przekazał ten dokument do publikacji w Moniteur belge (tj. ichnim Monitorze Sądowym i Gospodarczym) — gdzie ukazał się bez zmian i bez sprawdzenia treści…
…po czym się okazało, że rejent omyłkowo dołączył omyłkowo dokument, który obejmował dane osobowe wspólnika, zatem ten najsamprzód zażądał ich usunięcia, a po odmowie złożył skargę do Autorité de protection des données (tj. ichniego organu nadzorczego).
Urząd uznał, że w takiej sytuacji żądanie było zasadne i nakazał usunięcie zakwestionowanych danych z monitora. Jednak sąd zauważył, że po drodze było kilka podmiotów zajmujących się feralnym wnioskiem (notariusz, sąd, a na końcu Service public fédéral Justice — tj. resort sprawiedliwości jako wydawca dziennika urzędowego), zatem trudno powiedzieć który dokładnie z nich był administratorem danych osobowych. Ba, może właściwie należy ich traktować jako współadministratorów — i czy od wydawcy publikatora, którego normatywną rolą jest rozpowszechniać dokładnie to, co dostanie (bez sprawdzania i bez prawa do wprowadzenia jakichkolwiek poprawek), można wymagać przestrzegania zasad dotyczących przetwarzania danych osobowych?
art. 4 pkt 7) rozporządzenia 679/2016 o ochronie danych osobowych
„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
art. 26 ust. 1 RODO
Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. (…)
W wydanym wyroku TSUE stwierdził, iż:
- wydawca dziennika urzędowego jest administratorem danych osobowych: administratorem jest każdy podmiot, który dane osobowe przetwarza, skoro więc w monitorze dane takie zostały zebrane, utrwalone, przechowane, ujawnione i rozpowszechnione, to doszło w ten sposób do ich przetwarzania (i to w zautomatyzowany sposób) w rozumieniu RODO;
- przeszkodą dla takiego zakwalifikowania nie jest brak wyraźnego wyznaczenia podmiotu publikującego monitor jako administratora, albowiem może to nastąpić także w sposób dorozumiany (wynikający z jego roli, misji i uprawnień) — może być to więc i organ publiczny nie posiadający osobowości prawnej (np. ministerstwo sprawiedliwości), którego zadania zostały opisane w przepisach prawa;
- przeciwna wykładania byłaby sprzeczna zarówno z zasadą ochrony danych osobowych — i to z przyznaniem, że państwo nie sprawuje kontroli nad danymi osobowymi udostępnianymi w jego publikacjach urzędowych;
- skoro więc organ władzy publicznej jako wydawca dziennika urzędowego jest administratorem, spoczywa na nim też obowiązek przestrzegania zasad przetwarzania danych osobowych, w tym obowiązki w zakresie rozliczalności;
- nie ma przy tym znaczenia, że zadanie wydawcy znacząco różni się od wcześniejszych podmiotów (notariusza, sądu), których udział w przetwarzaniu może pozwolić uznać ich za współadministratorów, w jego kompetencjach nie leży weryfikowanie i poprawianie informacji, sęk bowiem w tym, że obowiązki współadministratorów nie muszą zależeć od ich wspólnych uzgodnień, lecz mogą wynikać z przepisów prawa (jak na przykład ustawy, która przewiduje taki obrót dokumentów celem ich publikacji w monitorze), natomiast wspólna odpowiedzialność administratorów może wynikać z prawa krajowego.
Sumarycznie w ocenie TSUE oznacza to, że wydawca dziennika urzędowego (monitora publikującego ogłoszenia spółek) może być skutecznie zobowiązany do usunięcia błędnych danych osobowych, nawet jeśli nie miał wpływu na błąd, ani nie miał obowiązku sprawdzenia danych otrzymanych do rozpowszechnienia.