Zgodnie z RODO, administrator podczas pozyskiwania od nas danych osobowych musi poinformować o odbiorcach naszych danych lub o kategoriach odbiorców. Innymi słowy – administrator musi dostarczyć informację, komu będzie przekazywał nasze dane osobowe. Z tym obowiązkiem związane jest prawo do uzyskania od administratora informacji o tych podmiotach. Mając jednak na uwadze, że administrator ma obowiązek przekazać informacje o „odbiorcach danych lub o kategoriach odbiorców” czy oznacza to, że na zapytanie osoby, której dane są przetwarzane, administrator musi wskazać konkretne podmioty, którym przekazuje dane? Nad tą kwestią zastanawiał się sąd najwyższy w Austrii (Oberster Gerichtshof), a następnie Trybunał Sprawiedliwości UE w sprawie C-154/21.
Prawo do informacji – obowiązek podania danych odbiorców
Wątpliwości austriackich sądów były na tyle poważne, że sąd najwyższy w Austrii skierował w tej kwestii pytanie do Trybunału Sprawiedliwości UE. Pytanie dotyczyło tego, czy prawo osoby, której dane dotyczą, oznacza, że administrator ma obowiązek podania tej osobie konkretnej tożsamości odbiorców danych.
Sprawa dotyczyła zatem art. 15 ust. 1 lit. c) RODO. Zgodnie z tym przepisem, osoba jest uprawniona do uzyskania od administratora informacji o odbiorcach lub kategoriach odbiorców, którym te dane osobowe zostały lub zostaną ujawnione. Brzmienie ww. przepisu nie pozwalało zatem na rozstrzygnięcie, czy osobie, której dane dotyczą, przysługuje prawo do informacji dotyczących konkretnych odbiorców. Możliwa była interpretacje zgodnie z którą administrator dysponuje uznaniem co do sposobu, w jaki zamierza udzielić informacji o odbiorcach. W takim przypadku administrator mógłby wskazać tylko kategorię odbiorców danych (np. podwykonawców).
Sąd pierwszej instancji i sąd apelacyjny w Austrii oddaliły żądanie osoby domagającej się ujawnienia konkretnych danych odbiorców jego danych. Sądy argumentowały, że RODO w zakresie, w jakim odnosi się do „odbiorców lub kategorii odbiorców” przyznaje administratorowi możliwość wskazania osobie, której dane dotyczą, jedynie kategorii odbiorców – bez konieczności wskazywania konkretnych odbiorców.
Wyrok Trybunału Sprawiedliwości UE
W przeszłości TS UE wskazywał, że prawo dostępu do informacji powinno pozwolić na sprawdzenie czy dane osobowe są przetwarzane zgodnie z prawem, w szczególności czy zostały one ujawnione upoważnionym odbiorcom. TS UE uznał, że na administratorze zasadniczo ciąży obowiązek podania dokładnej tożsamości odbiorców. Takie prawo osoby jest niezbędne, aby umożliwić podjęcie decyzji co do m.in. usunięcia danych lub ograniczenia przetwarzania danych osobowych.
Prawo do ochrony danych osobowych nie jest jednak prawem bezwzględnym. Oznacza to, że administrator nie musi wskazywać konkretnych danych odbiorców, jeżeli:
- nie jest możliwe zidentyfikowanie tych odbiorców lub
- administrator wykaże, że wnioski o uzyskanie dostępu złożone przez osobę, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne.
Treść wyroku TS UE dostępna jest pod adresem: https://curia.europa.eu/juris/document/document.jsf?text=&docid=269146&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=1700085
Podsumowanie i wnioski
Wyrok Trybunału Sprawiedliwości UE ma istotne znaczenie praktyczne. Administrator (nadal) może poinformować osobę, której dane przetwarza o kategorii odbiorców danych (a zatem o kategorii podmiotów, którym planuje przekazanie danych). Z drugiej strony, jeżeli osoba skieruje zapytanie do administratora na temat odbiorców danych, administrator zasadniczo musi wskazać konkretne informacje na ich temat. To oznacza, że administratorzy powinni dokumentować transfery danych osobowych oraz to, komu konkretnie dane osobowe są przekazywane. W szczególności powinno być to odnotowane w rejestrze czynności przetwarzania. Dla administratorów może to oznaczać konieczność zaktualizowania posiadanej przez nich dokumentacji.
W przypadku pytań – zachęcam do kontaktu: piotr.mijal@prawo-it.pl
