OPINIA RZECZNIKA GENERALNEGO
DÁMASA RUIZA-JARABA COLOMERA
przedstawiona w dniu 22 grudnia 2008 r.(1)
Sprawa C‑553/07
College van burgemeester en wethouders van Rotterdam
przeciwko
M.E.E. Rijkeboerowi
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Nederlandse Raad van State (Niderlandy)]
Ochrona danych – Prawa podstawowe – Dyrektywa 95/46/WE – Prawo dostępu do danych osobowych – Usunięcie – Ujawnienie osobom trzecim – Okres wykonywania prawa dostępu do danych – Zasada proporcjonalności
I – Wprowadzenie
1. Nederlandse Raad van State (Rada Państwa Niderlandów) przedłożyła Trybunałowi pytanie prejudycjalne dotyczące wykładni art. 6 i 12 dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(2). Niniejsza sprawa wkracza na trudny obszar: jak pogodzić usunięcie danych osobowych posiadanych przez administrację gminną, które uprzednio były przekazywane osobom trzecim, z prawem dostępu do informacji dotyczących przetwarzania danych.
2. Co do zasady, zniszczenie danych stanowi działanie ochronne. Niemniej jednak powoduje ono również odmienne skutki, gdyż wraz z usunięciem danych traci się również informacje o tym, w jaki sposób były one wykorzystywane. Bowiem ten, kto był pozornie chroniony, ponosi również szkodę, ponieważ nigdy nie pozna sposobu wykorzystania swoich danych osobowych przez ich posiadacza(3).
3. Na tle tego sporu Trybunał musi rozstrzygnąć, czy termin przewidziany na usunięcie danych stanowi również ograniczenie czasowe wykonywania prawa dostępu do informacji dotyczących przetwarzania. W takim przypadku należałoby ocenić, czy okres jednego roku jest wystarczający i proporcjonalny dla zapewnienia ochrony praw ustanowionych przez dyrektywę 95/46.
II – Stan faktyczny
4. Postanowienie odsyłające wskazuje, iż M.E.E. Rijkeboer zwrócił się do College van burgemeester en wethouders van Rotterdam (Urzędu Miasta Rotterdam, zwanego dalej „College”) z wnioskiem o sporządzenie na podstawie rejestrów administracji gminnej i przekazanie mu wykazu przypadków, w których dotyczące go dane osobowe zostały udostępnione osobom trzecim w okresie poprzednich dwóch lat. W drodze decyzji wydanych w dniu 27 i 29 listopada 2005 r., College częściowo odrzucił wniosek złożony przez M.E.E. Rijkeboera, przekazując mu jedynie informacje dotyczące poprzedniego roku. Nie zgadzając się z treścią decyzji wydanych przez administrację gminną, M.E.E. Rijkeboer złożył od nich odwołanie w trybie administracyjnym. Zostało ono również odrzucone w dniu 13 lutego 2006 r.
5. Zważywszy na wyczerpanie drogi administracyjnej, Rechtbank Rotterdam (sąd w Rotterdamie) rozpatrzył odwołanie złożone przez M.E.E. Rijkeboera. Wyrokiem z dnia 17 listopada 2006 r. Rechtbank Rotterdam unieważnił decyzję administracyjną odrzucającą niektóre z wniosków złożonych przez zainteresowanego, nakazując, aby College wydał nową decyzję.
6. W dniu 28 grudnia 2006 r. College złożył skargę do wydziału spraw sądowo‑administracyjnych Raad van State. Postanowieniem z dnia 5 grudnia 2007 r. organ ten zawiesił postępowanie główne i zwrócił się do Trybunału z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym.
III – Ramy prawne
A – Wspólnotowe ramy prawne
7. Artykuł 6 ust. 1 i 2 UE w następujących słowach stanowi, iż Unia jest związana prawami podstawowymi:
„1. Unia opiera się na zasadach wolności, demokracji, poszanowania praw człowieka i podstawowych wolności oraz państwa prawnego, które są wspólne dla państw członkowskich.
2. Unia szanuje prawa podstawowe zagwarantowane w europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności, podpisanej w Rzymie 4 listopada 1950 r., oraz wynikające z tradycji konstytucyjnych wspólnych dla państw członkowskich, jako zasady ogólne prawa wspólnotowego.
[…]”.
8. Prawo do prywatności, jako ogólna zasada prawa wspólnotowego, znalazło swój wyraz normatywny w dyrektywie 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Ten akt prawny, którego główne zasady zostały skodyfikowane w art. 8 Karty praw podstawowych Unii Europejskiej, definiuje pojęcie „danych” i nakazuje ich usunięcie, jeżeli dane są przetwarzane przez określony czas. Artykuł 2 lit. a) i art. 6 tej dyrektywy stanowią:
„Artykuł 2
[…]
a) »dane osobowe« oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (»osoby, której dane dotyczą«); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość;
[…]
Artykuł 6
1. Państwa członkowskie zapewniają, aby dane osobowe były:
[…]
e) przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez czas nie dłuższy niż jest to konieczne do celów, dla których dane zostały zgromadzone lub dla których są dalej przetwarzane. Państwa członkowskie ustanowią odpowiednie środki zabezpieczające dla danych przechowywanych przez dłuższe okresy dla potrzeb historycznych, statystycznych i naukowych”.
9. Celem zapewnienia przejrzystości przetwarzania danych art. 10 i 11 dyrektywy 95/46 wprowadzają wymogi w zakresie przekazywania informacji na rzecz osoby, której dane dotyczą, w zależności od tego, czy zostały one zgromadzone od osoby, której dane dotyczą. Wśród innych obowiązków administrator danych jest zobowiązany do spełnienia następujących wymogów:
„Artykuł 10
Informacje w przypadku gromadzenia danych od osoby, której dane dotyczą
Państwa członkowskie zapewniają, aby administrator danych lub jego przedstawiciel miał obowiązek przedstawienia osobie, której dane dotyczą i od której gromadzone są dane, co najmniej następujących informacji, z wyjątkiem przypadku, kiedy informacje takie już posiada:
a) tożsamości administratora danych i ewentualnie jego przedstawiciela;
b) celów przetwarzania danych, do których dane są przeznaczone;
c) wszelkich dalszych informacji, jak np.:
– odbiorcy lub kategorie odbierających dane,
– tego, czy odpowiedzi na pytania są obowiązkowe, czy dobrowolne oraz ewentualne konsekwencje nieudzielenia odpowiedzi,
– istnienie prawa wglądu do swoich danych oraz ich sprostowania,
o ile takie dalsze informacje są potrzebne, biorąc od uwagę szczególne okoliczności, w których dane są gromadzone, w celu zagwarantowania rzetelnego przetwarzania danych w stosunku do osoby, której dane dotyczą.
Artykuł 11
Informacje w przypadku uzyskiwania danych z innych źródeł niż osoba, której dane dotyczą
1. W przypadku gdy dane uzyskiwane są z innych źródeł niż osoba, której dane dotyczą, państwa członkowskie zapewniają, aby administrator danych lub jego przedstawiciel był zobowiązany od początku gromadzenia danych osobowych lub w przypadku ujawnienia danych osobie trzeciej, nie później niż do momentu, gdy dane są ujawniane po raz pierwszy, dostarczyć osobie, której dane dotyczą, co najmniej następujące informacje, z wyjątkiem przypadku, kiedy posiada już ona takie informacje:
a) tożsamość administratora i ewentualnie jego przedstawiciela;
b) cele przetwarzania danych;
c) wszelkie dalsze informacje, jak np.:
– kategorie potrzebnych danych,
– odbiorcy lub kategorie odbierających dane,
– istnienie prawa wglądu do swoich danych oraz ich sprostowania,
o ile takie dalsze informacje są konieczne, biorąc od uwagę szczególne okoliczności, w których dane są gromadzone, w celu zagwarantowania rzetelnego przetwarzania danych w stosunku do osoby, której dane dotyczą.
[…]”.
10. Osoby, których dane dotyczą, mogą strzec prawidłowego wykorzystania danych, poprzez wykonywanie „prawa dostępu do danych”, którego główne założenia są wskazane w treści art. 12 dyrektywy 95/46. Dla celów niniejszej sprawy znajduje zastosowanie pierwszy przypadek wskazany w treści tego artykułu:
„Artykuł 12
Prawo dostępu do danych
Państwa członkowskie zapewniają każdej osobie, której dane dotyczą, prawo do uzyskania od administratora danych:
a) bez ograniczeń, w odpowiednich odstępach czasu oraz bez nadmiernego opóźnienia lub kosztów:
– potwierdzenia, czy dotyczące jej dane są przetwarzane oraz co najmniej informacji o celach przetwarzania danych, kategoriach danych oraz odbiorcach lub kategoriach odbiorców, którym dane te są ujawniane,
– wyrażonej w zrozumiałej formie informacji o danych przechodzących przetwarzanie oraz posiadanych informacji o ich źródłach,
– wiadomości na temat zasad automatycznego przetwarzania dotyczących jej danych przynajmniej w przypadku zautomatyzowanego procesu decyzyjnego określonego w art. 15 ust. 1.
[…]”.
11. Obowiązek usunięcia danych jak również prawo dostępu do danych mogą zostać poddane ograniczeniom ustanowionym przez państwa członkowskie w przypadkach wskazanych w art. 13 dyrektywy 95/46:
„Artykuł 13
1. Państwo członkowskie może przyjąć środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków, przewidzianego w art. 6 ust. 1, art. 10, art. 11 ust. 1, art. 12 oraz 21, kiedy ograniczenie takie stanowi środek konieczny dla zabezpieczenia:
a) bezpieczeństwa narodowego;
b) obronności;
c) bezpieczeństwa publicznego;
d) działań prewencyjnych, prowadzonych czynności dochodzeniowo‑śledczych i prokuratorskich w sprawach karnych lub sprawach o naruszenie zasad etyki w zawodach podlegających regulacji;
e) ważnego interesu ekonomicznego lub finansowego państwa członkowskiego lub Unii Europejskiej, łącznie z kwestiami pieniężnymi, budżetowymi i podatkowymi;
f) funkcji kontrolnych, inspekcyjnych i regulacyjnych związanych, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach wymienionych w lit. c)–e);
g) ochrony osoby, której dane dotyczą, oraz praw i wolności innych osób.
[…]”.
B – Krajowe ramy prawne
12. Prawodawstwo niderlandzkie implementowało dyrektywę 95/46 poprzez ogólny akt prawny – Wet bescherming persoonsgegevens (ustawa o ochronie danych osobowych). W niniejszym postępowaniu wskazana ustawa znajduje tylko pomocnicze zastosowanie, gdyż przetwarzanie danych przez administrację gminną jest poddane szczególnej regulacji Wet gemeentelijke basisadministratie persoonsgegevens (ustawie o danych osobowych będących w posiadaniu administracji gminnej). Artykuł 103 ust. 1 tej ustawy ustanawia warunki, na jakich osoba prywatna wykonuje prawo dostępu do informacji dotyczących przetwarzania danych osobowych:
„Artykuł 103
1. W terminie czterech tygodni od złożenia wniosku College van burgemeester en wethouders przekazuje zainteresowanemu na piśmie informację o tym, czy dotyczące go dane osobowe administracji gminnej zostały przekazane wnioskodawcy lub osobie trzeciej w roku poprzedzającym dzień złożenia wniosku.
[…]”.
IV – Pytanie prejudycjalne
13. W dniu 12 grudnia 2007 r. wpłynął do sekretariatu Trybunału wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Raad van State w przedmiocie następującego pytania:
„Czy przewidziane przez ustawę o danych osobowych administracji gminnej ograniczenie informacji o danych do roku poprzedzającego złożenie stosownego wniosku jest zgodne z art. 12 lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych w związku bądź nie z art. 6 ust. 1 lit. e) tej dyrektywy oraz z zasadą proporcjonalności?”.
14. W terminie wskazanym w art. 23 statutu Trybunału Sprawiedliwości swoje uwagi przedłożyły College, rząd niderlandzki, rząd Zjednoczonego Królestwa, rząd grecki, rząd czeski i rząd hiszpański, jak również Komisja.
15. Na rozprawie, która miała miejsce w dniu 20 listopada 2008 r., stawili się celem ustnego przedstawienia swoich stanowisk pełnomocnicy College oraz M.E.E. Rijkeboera, jak również przedstawiciele rządu niderlandzkiego, rządu czeskiego, rządu hiszpańskiego i rządu Zjednoczonego Królestwa wraz z przedstawicielami Komisji Europejskiej.
V – Ustalenie zakresu pytania będącego przedmiotem rozstrzygnięcia
16. Niniejsza sprawa wywołuje wiele zawiłych pojęciowo pytań. Sednem jej jest ustalenie, czy może istnieć szczególny termin na usunięcie informacji dotyczącej przetwarzania danych osobowych. Z chwilą usuwania danych zgodnie z wymogami dyrektywy 95/46 zamyka się bowiem drogę prawu dostępu do danych, gdyż nie można wnosić o podanie informacji, która już nie istnieje. Zatem spór toczy się wokół ograniczenia uprawnienia, również w sposób bezpośredni przewidzianego przez dyrektywę 95/46. Napięcie pomiędzy usunięciem danych a prawem dostępu do nich ujawnia wewnętrzną sprzeczność w cytowanym akcie prawnym, co do której musi wypowiedzieć się Trybunał.
17. Należy zatem rozstrzygnąć, czy informacje dotyczące przetwarzania danych zasługują, czy też mogą zasługiwać na taki sam reżim prawny jak reżim dotyczący danych osobowych. Należy również wyjaśnić, czy termin przewidziany dla usunięcia danych w każdym przypadku musi stanowić ograniczenie prawa do dostępu do danych. Wątpliwości te należy rozstrzygnąć w kontekście faktycznym i prawnym, który nie jest do końca jasny, ponieważ Raad van State nie wskazała, czy termin przewidziany dla usunięcia informacji dotyczących przetwarzania danych jest równy, czy też krótszy niż ten, który jest przewidziany dla usunięcia danych osobowych. Co za tym idzie, należy przeanalizować oba przypadki, aby udzielić sądowi krajowemu użytecznej odpowiedzi.
VI – Analiza wstępna: wyważenie interesów w świetle praw podstawowych Unii Europejskiej
A – Prawo do prywatności i jego ewolucja wspólnotowa
18. Unia Europejska, przyjmując postulaty zawarte w swojej karcie konstytucyjnej(4), opiera się na prawach podstawowych, których przestrzegania strzeże Trybunał Sprawiedliwości(5). Po latach ewolucji orzecznictwa, rozpoczętej wraz z wyrokami w sprawie Stauder(6) i Internationale Handelsgeselschaft(7), państwa członkowskie nadały pełną moc wiążącą strukturalnemu charakterowi tych praw poprzez przyjęcie artykułu F Jednolitego Aktu Europejskiego, który następnie został przekształcony w art. 6 UE. Przepis ten stanowi, iż Unia szanuje prawa podstawowe zagwarantowane w europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności (zwanej dalej „EKPC”)(8) oraz wynikające z tradycji konstytucyjnych wspólnych dla państw członkowskich.
19. Prawo do prywatności stanowi część tych tradycji. Począwszy od wczesnego wyroku w sprawie Stauder(9) orzecznictwo umieściło ochronę prywatności wśród zasad ogólnych prawa wspólnotowego. Początkowo orzecznictwo dotyczyło obowiązku udostępniania danych, takich jak nazwisko(10) czy też informacje o stanie zdrowia(11), na poziomie krajowym(12) czy też wspólnotowym(13). Niewiele później, w latach dziewięćdziesiątych, Trybunał potwierdził wpływ tego prawa również w obszarze życia prywatnego(14) i rodzinnego(15).
20. Rok 1995 stanowił przełom, gdyż została przyjęta dyrektywa 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Orzecznictwo Trybunału w tym przedmiocie, do tej pory rozproszone i kazuistyczne, znalazło oparcie na bardziej solidnej konstrukcji, jako że w dyrektywie w sposób szczegółowy określony został jej zakres przedmiotowy(16), podmiotowy(17) oraz środki przysługujące osobom fizycznym wobec przepływu dotyczących ich danych(18). W motywie dziesiątym dyrektywy podkreślone zostało, iż dyrektywa 95/46 stanowi instrument ochrony praw podstawowych, które wynikają z EKPC i z zasad ogólnych prawa wspólnotowego(19). Wyrok w sprawie Österreichischer Rundfunk potwierdził, iż pomimo tego, iż celem dyrektywy 95/46 jest zapewnienie swobodnego przepływu danych, to w znaczącym zakresie stoi ona również na straży praw podstawowych(20).
21. Podsumowując, dyrektywa 95/46 rozwija prawo do prywatności w wymiarze dotyczącym przetwarzania danych osobowych w sposób zautomatyzowany(21).
22. Na dowód takiego zamiaru ustawodawcy wystarczy wskazać, że art. 8 Karty praw podstawowych Unii Europejskiej(22), poświęcony „ochronie danych osobowych”, ustanawia prawo do prywatności, jak również prawo do rzetelnego przetwarzania danych, uznając także prawo dostępu do danych osobowych i ich sprostowania. Pomimo ostrożności, z jaką należy powoływać się na kartę(23), trudno zignorować jej zawartość i zaprzeczać, że te elementy prawa stanowią część tradycji konstytucyjnych wspólnych dla państw członkowskich(24). Stanowisko to wzmocnione jest przez fakt, iż od przyjęcia dyrektywy 95/46 upłynęło już ponad dziesięć lat, a w tym okresie dokonana została skuteczna harmonizacja w tym przedmiocie(25).
23. Dokładnie, art. 8 karty wskazuje na dwa aspekty, które wpływają na spór będący przedmiotem postępowania przed sądem krajowym. Oba te aspekty znajdują swoje odzwierciedlenie w treści art. 6 i 12 dyrektywy 95/46. Z jednej strony mamy do czynienia z obowiązkiem usunięcia danych po upływie czasu koniecznego dla osiągnięcia celów [art. 6 ust. 1. lit. e)], a z drugiej strony – z nieograniczonym prawem dostępu do informacji w sprawie odbiorców danych, którym zostały one ujawnione [art. 12 lit. a)]. Zważywszy na to, że karta uwzględnia takie aspekty i obejmuje je „nimbem” prawa do prywatności, pytanie prejudycjalne, z którym zwróciła się Raad van State, wymaga wyważenia interesów i dóbr, aby uzyskać odpowiedź racjonalną, która odpowiednio umiejscowi te przepisy w odpowiadających im ramach konstytucyjnych(26).
24. Na wstępie, opisując klucz do wykładni dyrektywy 95/46, konieczne jest zbadanie jej aspektu celowościowego, aby ustalić, jaki interes prawny ma charakter przeważający.
B – Prawo do prywatności i jego sprzeczności wewnętrzne
25. Niniejszy spór nie dotyczy dwóch praw podstawowych, lecz dwóch stron tego samego medalu. W przeciwieństwie do innych spraw, w których ścierają się, przykładowo, prawo do czci z wolnością informacji, czy też prawo do prywatności z prawem własności, w tym przypadku ocenie podlegają dwa zobowiązania ciążące na organach władzy publicznej. Pierwszy obowiązek polega na ustanowieniu terminów do usunięcia danych osobowych, a drugi zaś na zagwarantowaniu osobom, których dane dotyczą, prawa dostępu do takich danych. Ta szczególna cecha odróżnia perypetie M.E.E. Rijkeboera od innych spraw, w których Trybunał wypowiedział się wcześniej, takich jak sprawa Lindqvist(27) lub sprawa Promusicae(28), gdzie ochrona prawa do prywatności zderzała się odpowiednio ze swobodą wyznania i z prawem własności(29). Tutaj przeciwnie, występuje jedno prawo rozdarte wewnętrznym konfliktem, rozdzielone między dwie dusze, zamieniającym je w rodzaj Dr Jekylla i Mr Hyde’a, ponieważ, jak to dalej wykazuję, w jego wnętrzu dobro współistnieje z zimnym i wyrachowanym okrucieństwem.
26. Przechowywanie danych przez administratorów zbiorów jest zadaniem, które ma określony termin ważności, jako że dyrektywa 95/46 nakazuje ich utrzymanie przez czas nie dłuższy niż jest to konieczne dla osiągnięcia celów, dla których zostały zgromadzone. Artykuł 6 stwierdza to w sposób zasadniczy, pozostawiając państwom członkowskim zadanie określenia odpowiednich terminów, w zależności od obszarów i celów, dla których zbiór danych osobowych został utworzony, a następnie ma zostać usunięty. Mimo elastyczności, jaką przepis ten pozostawia prawodawstwu krajowemu, art. 13 dyrektywy 95/46 zezwala na ustanowienie wyjątków od tej zasady, upoważniając do przechowywania danych przez dłuższy okres niż zwykle, jeżeli jest to podyktowane ogólnymi względami, takimi jak bezpieczeństwo narodowe, walka z przestępczością czy też badania naukowe.
27. Nie wskazując na tę okoliczność, preambuła dyrektywy 95/46 nie przywiązuje większej wagi do kwestii ograniczenia czasowego przechowywania danych. A zatem, wyłącznie treść art. 6 i 12 jest poświęcona temu obowiązkowi, a wobec szerokiego zakresu swobodnego uznania, jaki dyrektywa 95/46 pozostawia państwom członkowskim, uznaję, iż ustawodawca wspólnotowy nie skupił się na tym aspekcie. Jest to szczególnie widoczne przy porównaniu regulacji w tym zakresie z prawem dostępu do danych(30).
28. Prawo udzielone osobie, której dane dotyczą, do wywierania na nie wpływu, jak również do żądania ich sprostowania, usunięcia lub zablokowania, stanowi jeden z zasadniczych aspektów dyrektywy 95/46. Motywy 38 i 40 obrazują tę myśl, nie tylko dlatego, iż potwierdzają znaczenie prawa dostępu do danych, lecz także dlatego, iż zakładają, że istnieje związek pomiędzy informacją, jaką posiada osoba, której dane dotyczą, a przetwarzaniem dotyczących jej danych. Aby uprawnienia przyznane przez art. 12 były bowiem rzeczywiście wykonywane, należy dysponować szeregiem zasad ogólnych, gdyż w przeciwnym wypadku mechanizmy ochronne ustanowione w tym przepisie pozostałyby martwe. Motyw 41 wyraża to z niezmierną klarownością, wskazując, iż „każda osoba musi mieć możliwość skorzystania z prawa dostępu do dotyczących jej danych, które poddane są przetwarzaniu, w celu zweryfikowania zwłaszcza prawidłowości danych oraz legalności ich przetwarzania”(31). W tym punkcie nabierają znaczenia wszystkie „zasady dotyczące jakości danych”, na które wskazuje rozdział II sekcja I dyrektywy 95/46, wśród których znajduje się także obowiązek ich przechowywania przez czas „nie dłuższy niż jest konieczne do celów, dla których zostały zgromadzone”. Zobowiązanie do zniszczenia danych jest objęte wymogiem przetwarzania danych „w sposób rzetelny i legalny”, jak również obowiązkiem zapewnienia jakości danych, by były prawidłowe, stosowne oraz nienadmierne ilościowo(32).
C – Charakter pomocniczy art. 6 w odniesieniu do art. 12 dyrektywy 95/46
29. Jestem świadomy trudności, jakie wiążą się z ustaleniem, który interes prawny ma pierwszeństwo – czy ten wynikający z art. 6, czy też art. 12 dyrektywy 95/46. Istnieją bardzo mocne argumenty, aby twierdzić, że usuwanie danych jest kluczowym elementem systemu ustanowionego przez dyrektywę 95/46, w cieniu którego stoi prawo dostępu do danych, ułatwiające osobie, której dane dotyczą, sprawdzenie, czy zostały wykonane obowiązki związane z usuwaniem danych. W taki sam sposób, prawo do ochrony zostało umieszczone w art. 12, gdyż dostęp do danych stanowi rzeczywisty wymiar subiektywny dyrektywy, która ostatecznie upoważnia daną osobę do reagowania w obronie jej interesów.
30. W tych okolicznościach nie mogę sobie odmówić przywołania odwiecznego dylematu jajka i kury. Kto pojawił się pierwszy? Czy można nieskończenie żyć z tym pytaniem i uznać, że nigdy nie będzie na nie odpowiedzi, gdyż oba byty stanowią rzeczywistość wieczną, jak to opisywał Arystoteles?(33).
31. W przeciwieństwie do filozofa, sądy nie cieszą się taką swobodą myśli, lecz muszą starać się udzielić odpowiedzi, nawet jeśli nie zawsze jest ona najbardziej trafna. W konsekwencji, na podobieństwo naukowców, którzy zajęli określone stanowisko w odwiecznym konflikcie kury i jajka(34), skłaniam się do przedstawienia rozwiązania kolizji, jaka zachodzi między art. 6 i 12 dyrektywy 95/46.
32. Z tego, co zostało wskazane w pkt 29–35 niniejszej opinii, wnioskuję, że dyrektywa 95/46 uznaje, że usunięcie danych jest podporządkowane prawu dostępu. Przepisy te nadają uprawnienie, które powstaje wraz z utworzeniem danych i zanika wraz z ich usunięciem. Co za tym idzie, usunięcie danych jest tylko momentem w istnieniu prawa dostępu, cechą, którą warunkuje i uzasadnia artykuł 12.
33. Podążając tym tokiem rozumowania, można nabyć pewności, że prawo dostępu dąży do tego, aby ten, czyje dane są przetwarzane, znał informacje, które dotyczą jego osoby. Ponadto pogłębić tę myśl można jeszcze bardziej, jeżeli postawi się pytanie o cel formułowanego zapytania. W wielu wypadkach osoba, której dane dotyczą, zamierza zbadać, czy jej dane są przetwarzane zgodnie z prawem. Dyrektywa 95/46 narzuca administratorom zbiorów wymogi co do zasad przetwarzania danych, lecz także kładzie nacisk na mechanizmy ochronne, wśród których znajduje się prawo dostępu. Stanowi ono narzędzie, którym posługuje się osoba, której dane dotyczą, aby czuwać nad przestrzeganiem przepisów tego aktu prawnego i je egzekwować.
34. A zatem art. 12, stanowiący oś systemu gwarancyjnego wynikającego z dyrektywy 95/46, pozbawiony byłby logiki, gdyby ci, którzy posiadają cudze dane, nie byli poddani żadnym normom. Zgodnie ze stanowiskiem Komisji, trafnie przedstawionym na rozprawie, właśnie dlatego, że istnieją zasady przetwarzania danych (art. 6), powstaje prawo dostępu(35), które jawi się jako podstawowy filar wyżej wymienionej dyrektywy. Podkreślone zostało to w treści art. 12 poprzez nacisk położony na wyrażenie „bez ograniczeń”(36). W świetle gwarancyjnego charakteru dyrektywy 95/46 skupiającej swój wysiłek na ochronie praw osób, których dane dotyczą, wydaje się oczywiste, że obowiązki w zakresie przechowywania danych mają status pomocniczy wobec prawa dostępu. Silny podmiotowy wydźwięk dyrektywy i jej intencja ochrony praw o charakterze podstawowym (w tym przypadku – prawa do prywatności), utwierdzają tę myśl i umieszczają interesy wynikające z art. 6 na niższym poziomie normatywnym.
35. Argument ten znajduje potwierdzenie w systematyce art. 8 Karty praw podstawowych Unii Europejskiej, której wartość interpretacyjna pozostaje poza wszelkimi wątpliwościami(37), w której prawo dostępu zostało umieszczone w pierwszym ustępie tego przepisu. W dalszej kolejności, ust. 2 wylicza zasady przetwarzania danych, lecz wykazując taki porządek hierarchiczny, pierwszeństwo przyznaje się prawom osoby, której dane dotyczą, nad obowiązkami tego, kto wykorzystuje dane.
36. Mając tę perspektywę za przesłankę i zwracając uwagę Trybunału na wymiar podmiotowy dyrektywy 95/46, która nadaje szczególną wagę art. 12 w stosunku do art. 6, przystępuję do analizy pytania przedłożonego przez Radę Państwa Niderlandów.
VII – Dane osobowe i informacje o przetwarzaniu danych
37. Zgodnie z tym, co zostało wskazane w pkt 16 i 17 niniejszej opinii, analizując legalność długości terminu, należy zbadać odrębnie dwa założenia, których zastosowanie zależy od okoliczności każdego przypadku: w pierwszym przypadku, jeżeli termin jest krótszy niż ten, który jest przewidziany dla danych osobowych, zaś w drugim przypadku, jeżeli termin dla uzyskania dostępu do informacji o przetwarzaniu jest taki sam jak termin wyznaczony dla danych osobowych. W pierwszym założeniu należy ustalić, czy dyrektywa dopuszcza niezależność tych dróg dostępu, w zależności od rodzaju żądanych danych. Przy drugim założeniu pojawia się trudność ustalenia, czy możliwy jest dostęp w okresie późniejszym w stosunku do usunięcia danych.
38. Aby we właściwy sposób udzielić odpowiedzi na pytanie przedłożone przez Raad van State, staje się niezbędne wcześniejsze ustalenie, czy terminy wyznaczone na usunięcie danych muszą być stosowane w ten sam sposób w stosunku do wszystkich danych, włączając w to informacje dotyczące przetwarzania danych, czy też mogą być zróżnicowane w zależności od rodzaju danych osobowych. Istnieje bowiem znacząca rozbieżność wynikająca z celów, które mają być spełnione przez poszczególne kategorie informacji.
39. Na rozprawie rząd grecki, jak również rząd czeski, wskazywały, iż każdy rodzaj danych służy do innych celów. Wydaje się zatem właściwe wyjaśnienie w dalszej kolejności zalet i wad tego rozumowania, jak również jego konsekwencji dla rozstrzygnięcia niniejszej sprawy.
40. Usunięcie danych osobowych ma na celu ochronę osób, których dane dotyczą, ponieważ wraz ze zniszczeniem danych wygasa jakiekolwiek ryzyko ich przetwarzania niezgodnie z prawem. Fakt, iż dyrektywa 95/46 nie ustanawia w art. 6 określonych terminów, ma pewną logikę, gdyż poszczególne rodzaje danych służą do osiągnięcia różnych celów i zgodnie z zasadą subsydiarności ustawodawca krajowy lepiej może określić, ile czasu mają administratorzy zbiorów danych, zanim przystąpią do ich usunięcia. Niemniej jednak inne jest zasadnie usunięcie informacji dotyczących przetwarzania, gdyż nie chroni ono praw osoby, której dane dotyczą, bowiem ta osoba traci ślad tych informacji, nie wykonując prawa dostępu do danych, jako że odpowiednie informacje nie znajdują się już w posiadaniu administratora. Korzystają zaś z tego osoby trzecie, które uzyskały dostęp do danych, gdyż ich tożsamość i intencje zostały wymazane.
41. Pytanie prejudycjalne, z którym zwrócono się do Trybunału, uwypukla trudności pojęciowe leżące u podstaw niniejszej sprawy. Oczywiście możliwe jest rozróżnienie między usunięciem danych a usunięciem informacji dotyczących przetwarzania(38). Dotyczą one dwóch odmiennych dóbr prawnych, jak również dwóch autonomicznych funkcji, odrębnie uregulowanych przez dyrektywę 95/46. Lecz taka konstrukcja, w skrajnym wypadku, powoduje niepożądane konsekwencje. Po pierwsze, zróżnicowanie nie znajduje literalnego odzwierciedlenia w treści dyrektywy 95/46, ponieważ art. 6 dotyczy usunięcia wszelkiego rodzaju danych, podczas gdy art. 12, pomimo tego, że wymienia różnego rodzaju informacje, czyni to, aby nadać odpowiednią zawartość prawu dostępu do danych, nie zaś dla celów dokonania podziału(39). Po drugie, prawo dostępu zostało opracowane tak, aby mogło być wykonywane „bez ograniczeń”, przy założeniu jego szerokiej wykładni. Można ograniczyć, jak zostanie to wskazane poniżej, intensywność, z jaką uprawnienie to będzie chronione, w zależności od okoliczności, lecz brzmienie art. 12 wyłącza istnienie dostępu pierwszej i drugiej kategorii. Po trzecie wreszcie, jak to wskazały Komisja, rząd hiszpański i rząd Zjednoczonego Królestwa na rozprawie, oba rodzaje danych są zintegrowane w jednym systemie technologicznym, zazwyczaj te dane są przetwarzane łącznie, a zarządzanie nimi w całości nie obciąża nadmiernie administratorów zbiorów danych.
42. A zatem, odrzucam stanowisko, że informacje dotyczące przetwarzania danych posiadają odrębne istnienie i reżim prawny. Informacje dotyczące przetwarzania wpływają na przetwarzane dane osobowe, ponieważ wskazują na sposób i warunki, w jakich były one wykorzystywane. Prowadzi mnie to do obrony poglądu, że takie informacje stanowią zasadniczą część wspólnotowej definicji „danych osobowych” w rozumieniu art. 2 lit. a) dyrektywy 95/46. Aby udzielić właściwej odpowiedzi organowi odsyłającemu, należy ukazać różne strony tego twierdzenia w świetle dwóch założeń przedstawionych w pkt 16 i 17 niniejszej opinii.
VIII – Pierwsze założenie: krótszy termin na usunięcie informacji dotyczących przetwarzania
43. Pytanie prejudycjalne przedłożone przez Raad van State wydaje się odnosić do tego założenia: ustawodawstwo niderlandzkie przewiduje przedłużone przechowywanie danych osobowych, lecz ustanawia krótszy termin roczny na usunięcie informacji dotyczących przetwarzania. Postanowienie odsyłające nie wyszczególnia jednak danych, będących przedmiotem sporu przed sądem krajowym, przez co pozwalam sobie na propozycję tej pierwszej odpowiedzi przy wskazanym powyżej pierwszym założeniu.
44. Z powodów wskazanych w pkt 37 i 42 niniejszej opinii, uważam, że dyrektywa 95/46 nie dokonała rozróżnienia między danymi osobowymi i informacjami dotyczącymi przetwarzania. Świadomy trudności przy przechowywaniu danych, które wynikałyby z takiego stanowiska, uznaję, że termin na usunięcie danych wynikający z art. 6 dyrektywy 95/46 jest tożsamy dla tych dwóch rodzajów danych. Pomimo tego, że cel usunięcia różni się w zależności od funkcji, jaką spełniają poszczególne dane, trudno jest mi przyjąć zróżnicowane reżimy oparte na tak sztucznym rozróżnieniu, w szczególności, jeżeli rozstrzygnięcie dotyka prawa podstawowego.
45. Zgodnie z tym, co wykazuję w pkt 29–35 niniejszej opinii, przepisy nadają pierwszeństwo prawu dostępu, któremu są podporządkowane obowiązki w zakresie usuwania danych. Aby spełnić ten cel, zarówno dane osobowe, jak i informacje dotyczące przetwarzania będą lepiej chronione, jeżeli zachowane zostaną przez ten sam okres czasu.
46. Istnieją przypadki, gdy przechowywanie danych trwa przez długi okres czasu. Lecz ten długi okres jest uzasadniony interesem ogólnym, który również znajduje zastosowanie do przedłużenia istnienia informacji dotyczących przetwarzania. W sytuacji gdy przechowywanie danych staje się nazbyt długie, gdyż dane są przetwarzane dla celów historycznych, statystycznych lub naukowych, dyrektywa 95/46 wymaga, aby państwa członkowskie przyjęły szczególne środki, które dostosują wykorzystanie przetwarzanych danych do okoliczności, które usprawiedliwiają ich przedłużone przechowywanie(40). A zatem, istnieje konieczność ustanowienia innych środków, które zapewniają ochronę osoby, której dane dotyczą, jednakże dostosowanych do wykorzystania danych dla celów historycznych lub kulturalnych wskazanych w art. 6 ust. 1 lit. e) dyrektywy 95/46.
47. Ponadto, jak to zasygnalizował College w swoich uwagach na piśmie, potwierdzając je na rozprawie, istnieją inne ograniczenia obowiązku przechowywania informacji dotyczących przetwarzania przez taki sam okres jak okres przechowywania danych osobowych. Przykład podany przez College wydaje mi się decydujący w odniesieniu do ochrony danych dotyczących osób trzecich, które z kolei są przedmiotem ochrony na mocy dyrektywy 95/46, co jednakże nie oznacza, iż należy całkowicie pozbawić ochrony osobę, której pierwotnie dotyczyły udostępnione dane osobowe. Ograniczenie to zakłada, wyłącznie w odniesieniu do poszanowania danych osobowych odbiorcy danych, że osoba, której pierwotnie dotyczyły przekazane dane, poddaje się tym samym ograniczeniom co każdy inny otrzymujący dane dla celów dyrektywy 95/46.
48. W konsekwencji, jeżeli dane osobowe i informacje dotyczące przetwarzania poddane są takiemu samemu terminowi na ich usunięcie, nie ma potrzeby oceny proporcjonalności okresu rocznego przewidzianego w przepisach niderlandzkich. Jeżeli okres przechowywania danych byłby dłuższy niż termin przewidziany dla informacji dotyczących przetwarzania, odpowiedź na pytanie prejudycjalne zakończyłaby się w tym miejscu.
49. Jeżeli zaś ramy prawne tej sprawy byłyby odmienne, rozstrzygnięcie przedłożonego pytania uległoby zmianie, jeżeli występowałaby tożsamość między tymi terminami, a osoba, której dane dotyczą, żądałaby dostępu do informacji uprzednio usuniętej.
IX – Drugie założenie: wspólny termin na usunięcie obu rodzajów danych
A – Literalne brzmienie art. 12 dyrektywy 95/46
50. Królestwo Hiszpanii, Republika Czeska i Niderlandy twierdzą, że art. 12 ustanawia związek między dostępem do danych i usunięciem danych przewidzianym w art. 6, powołując się na brzmienie art. 12 lit. a) tiret drugie. Przepis ten wymaga, aby państwa członkowskie zapewniły „prawo do uzyskania od administratora danych wyrażonej w zrozumiałej formie informacji o danych przechodzących przetwarzanie oraz posiadanych informacji o ich źródłach”. Z brzmienia tego przepisu ma wynikać, że dyrektywa 95/46 ogranicza prawo dostępu do przetwarzanych informacji; wyłączając to uprawnienie, kiedy żądanie informacji następuje po tym, jak ustało przetwarzanie danych, to jest, po ich usunięciu. Wykładnia ta nabiera większej mocy przy porównaniu licznych wersji językowych, które różnią się stopniem nacisku na czasowy i niezmienny charakter tego prawa.
51. Argument ten nie jest przekonujący, gdyż, nawet jeśli wersja angielska odnosi się do danych „undergoing processing”(41), wersja hiszpańska ma bardziej dwuznaczne brzmienie. Przyznaję, że rygorystyczna wykładnia tego przepisu byłaby bardziej spójna z wymogiem usunięcia danych wskazanym w art. 6. Niemniej jednak nie uważam, aby to zestawienie miało decydujące znaczenie, w szczególności wobec istnienia argumentów, które przedstawiam poniżej, przemawiających za uczynieniem wyjątku od gramatycznej wykładni art. 12(42).
52. Nie podzielam również stanowiska wyrażonego przez Królestwo Hiszpanii, że należy dodać kolejny wyjątek do art. 12, który uzupełniłby wyjątki wskazane w art. 13 dyrektywy 95/46(43). Poprzez przyjęcie, iż dostęp ogranicza się do danych, które są obecnie przedmiotem przetwarzania, rząd hiszpański uznaje, iż do ograniczeń wskazanych w art. 13 dodaje się w pośredni sposób kolejny wyjątek, którego zakres wynika ze wskazanego powyżej obowiązku z art. 6 dyrektywy 95/46. Tłumaczenie to mnie nie przekonuje, a służy w znacznym stopniu na poparcie tezy, której chce się przeciwstawić – jeżeli art. 13 ustanawia wyjątki od szerokiego prawa dostępu do danych, to takie wyjątki muszą być poddane ścisłej wykładni. Jeżeli nie można interpretować tych ograniczeń w sposób rozszerzający, to tym bardziej niedopuszczalne byłoby tworzenie innych kategorii ex novo.
53. Podsumowując, literalne brzmienie tych przepisów skłania mnie do odrzucenia stanowiska ograniczającego prawo dostępu. Motywy te nie prowadziłyby do koncepcji jednolitego terminu, zważywszy, że wewnętrzna hierarchia dyrektywy 95/46 udziela pierwszeństwa prawu dostępu przed prawem do usunięcia danych. Co za tym idzie, unicestwienie danych stanowi granicę wykonywania prawa dostępu, która znajduje swoje prawne uzasadnienie jednie, jeżeli są spełnione określone gwarancje. To znaczy, można uwarunkować wykonywanie prawa (np. poprzez ustanowienie terminu) w każdym przypadku, gdy osoba, której dane dotyczą, jest chroniona za pomocą innych środków. Jeżeli nie miałoby to miejsca, istniałyby terminy na usunięcie danych, które okazywałyby się niezgodne z prawem jako stojące w sprzeczności z uprawnieniem do dostępu, co nie oznacza, iż należy traktować mniej korzystnie informacje dotyczące przetwarzania i zobowiązać administratorów do przechowywania ich nieskończenie długo. Przeciwnie, zakłada się, że to termin na usunięcie danych ulegnie przedłużeniu, w taki sposób, aby zapewnić prawo dostępu.
54. Co za tym idzie, stoję na stanowisku, iż termin na usunięcie danych stanowi również wyjątek od prawa ustanowionego przez art. 12 dyrektywy 95/46. Niemniej jednak okres ten może być szkodliwy dla wykonywania tych przepisów, w sytuacji gdy w nadmierny sposób utrudnia on osiągnięcie celów, dla których zostały one ustanowione.
B – Wyjątek od zasady: przekazywanie informacji osobie zainteresowanej
55. Z powodów wskazanych powyżej podtrzymuję, że termin przewidziany na usunięcie danych hamuje wykonywanie prawa dostępu, aczkolwiek występują okoliczności, gdy następuje rozdźwięk między terminami ustanowionymi na usunięcie i na wykonywanie dostępu. Używając wyrazu „rozdźwięk”, nawiązuję do możliwości, że okres czasu będzie proporcjonalny dla usunięcia danych, zaś nieproporcjonalny dla wykonywania dostępu lub też odwrotnie. Jestem świadomy praktycznych trudności, które wiążą się z tym podejściem, lecz tego rodzaju sytuacja może wystąpić w szczególnych okolicznościach, kiedy osoba, której dane dotyczą, nie została poinformowana w wystarczającym stopniu o przysługujących jej uprawnieniach.
56. Zgodnie z wywodami przedstawionymi przez Republikę Grecką i Komisję, tego rodzaju finał ma miejsce, jeżeli pojawia się niedobór informacji na szkodę osoby, której dane dotyczą. Aby to wyjaśnić, należy przypomnieć, że dyrektywa 95/46 wprowadza w treści art. 10 i 11 obowiązek przekazywania osobie, której dane dotyczą, szeregu informacji lub zwracania się do niej o udzielenie określonej zgody. Obowiązki te obejmują w szczególności przekazywanie informacji dotyczących udostępniania danych osobom trzecim, choć wymóg ten jest zredagowany w sposób niedookreślony, pozostawiając państwom członkowskim szeroki zakres swobodnego uznania. Sposób konstrukcji tych obowiązków przez poszczególne prawodawstwa krajowe warunkuje udzielenie odpowiedzi w takiej sprawie jak niniejsza. Nic nie stoi na przeszkodzie, aby ten, kto nie został właściwie poinformowany przed udostępnieniem dotyczących go danych o tożsamości odbiorcy lub też o okresie, w jakim może wykonać prawo dostępu, zasługiwał na wyższy poziom ochrony(44). Konsekwencja ta jest zgodna z pierwszeństwem, które dyrektywa 95/46 udziela podmiotowym prawom osoby, której dane dotyczą. Ograniczenie tych praw musi być ustanowione w ten sposób, że nawet jeśli nastąpiło usunięcie danych, zapewnione jest jednak wykonywanie tych praw.
57. W niektórych przypadkach, stosując tę doktrynę, postępowanie skutkuje rozwiązaniem, któremu nie sposób sprostać. Jeżeli College z urzędu zniszczył wszystkie dane dotyczące M.E.E. Rijkeboera z wyjątkiem okresu ostatniego roku, żądanie zainteresowanego trafia w próżnię. Oczywiste jest, że gmina Rotterdam nie jest w stanie przekazać mu tego, czego sama już nie posiada. Może się zdarzyć, że taka niekorzystna sytuacja dotyczy również innych ustawodawstw krajowych, lecz tylko przez ograniczony czas, aż do dostosowania przepisów prawa niezgodnych z prawem wspólnotowym. Jednak w międzyczasie osoba, której prawa są naruszone, zachowuje roszczenie w zakresie odpowiedzialności państwa za niewykonanie obowiązków wynikających z prawa wspólnotowego. W braku przepisów wykonawczych, które w pełni gwarantują prawa jednostki, normy te przynajmniej zapewniają odszkodowanie pieniężne, do przyznania którego zobowiązane są krajowe organy sądownicze(45).
58. W konsekwencji niniejszą sprawę należy rozstrzygnąć, że posłużę się amerykańskim określeniem, poprzez zastosowanie hard look w sposobie widzenia proporcjonalności(46), jeżeli Raad van State stwierdzi w postępowaniu przed sądem krajowym, że miał miejsce niedobór w przekazywaniu informacji. W takich okolicznościach termin na usunięcie danych nie może w żadnym wypadku automatycznie stanowić bariery dla wykonywania prawa dostępu. Kontroli proporcjonalności należy dokonać z najwyższym stopniem poziomu ochrony, który z trudem dałby się pogodzić z okresem tak ulotnym jak okres jednego roku.
59. Mając powyższe na uwadze, przychylam się do opinii tych, którzy pojmują usunięcie danych i dostęp do nich jako składowe jednej rzeczywistości, połączonych zatem długością ustanowionych dla nich terminów. Usunięcie danych wynikające z art. 6 dyrektywy 95/46 obejmuje każdy element informacji, włączając w to udostępnianie danych osobom trzecim. W konsekwencji limit czasowy ustanowiony dla usunięcia danych pośrednio pełni rolę terminu, który ogranicza wykonywanie prawa dostępu. Odgraniczenie jednego rodzaju danych od innych w odniesieniu do wykonywania prawa dostępu skutkuje wprowadzeniem rozróżnienia, które jest nieobecne w treści dyrektywy 95/46, a nadto jego praktyczna skuteczność wcale nie jest oczywista(47).
60. Pewne wyjątki są dopuszczalne, jeżeli występuje niedobór przejrzystości przy przekazywaniu osobie, której dane dotyczą, informacji o przysługujących jej prawach. W takich okolicznościach termin na dokonanie usunięcia danych musi zostać przedłużony celem zachowania prawa dostępu.
C – Termin roczny a zasada proporcjonalności
61. Ustawodawstwo niderlandzkie przewiduje szczególny reżim prawny w odniesieniu do przetwarzania danych osobowych przez administrację gminną, który w przedmiotowym zakresie przewiduje ogólny termin roczny na usunięcie danych. Uprzednio już wskazałem powody, dla których należy ocenić ten termin łącznie, zarówno na potrzeby art. 6, jak i art. 12 dyrektywy 95/46. W tym momencie zasadne jest ustalenie, w jakim zakresie termin ten jest zgodny z zasadą proporcjonalności, której zastosowanie leży u podstaw wcześniej wskazanych przepisów, ponieważ oba nadają znaczenie prawu podstawowemu.
62. Rząd Zjednoczonego Królestwa, rządy hiszpański i czeski poświęciły dużo wysiłku na wykazanie trudności, jakie wiążą się z zapewnieniem prawa dostępu w sytuacji, gdy dane zostały wcześniej usunięte. Przy takim założeniu, nie poświęciły zbyt wiele uwagi kontrowersyjnemu terminowi. Jednakże rząd grecki i College w swoich uwagach na piśmie zagłębiają się w implikacje, które wiążą się z niderlandzkim terminem rocznym w świetle dyrektywy 95/46 i zasady proporcjonalności. W opinii Republiki Greckiej i Komisji, okres ten wydaje się nadmiernie krótki i, jako taki, nie do pogodzenia z przepisami wspólnotowymi. College stara się zasłaniać zgodnością z prawem tego terminu, odwołując się do szczególnych cech systemu niderlandzkiego, które kompensują krótki czas innymi środkami chroniącymi osoby, których dane dotyczą.
63. Przechodząc do analizy proporcjonalności terminu prawa krajowego, należy uprzednio przytoczyć kilka wytycznych, bowiem Trybunał oceniał przy innych okazjach podobne terminy. Z orzecznictwa wyłania się podejście zmienne i zależne od kontekstu każdej sprawy, a w orzecznictwie tym Trybunał sprawuje kontrolę mniej lub bardziej natężoną w zależności od okoliczności(48). W sytuacji gdy dochodzi do ewentualnego naruszenia praw podstawowych, badanie terminu na ich wykonywanie musi być przeprowadzone bardzo skrupulatnie(49). Jednak nawet przy tym założeniu analiza zależy od wielu różnych czynników.
64. Jak to wywodzę w pkt 55–60 niniejszej opinii, należy rozważyć stopień poinformowania osoby, której dane dotyczą, w czasie gdy były one przetwarzane. W tym zakresie możliwe jest określenie następujących kryteriów.
65. Zgodnie z treścią art. 10 i 11 dyrektywy osobie zainteresowanej przysługuje prawo do uzyskania szeregu informacji, wśród których wyróżnia się tożsamość „odbiorc[ów] lub kategor[ii] odbiorców danych […], o ile takie dalsze informacje są konieczne, biorąc pod uwagę szczególne okoliczności, w których dane są gromadzone, w celu zagwarantowania rzetelnego przetwarzania danych w stosunku do osoby, której dane dotyczą”. Powyżej wymienione przepisy różnicują sytuacje, gdy informacje są gromadzone bezpośrednio od osoby, której dane dotyczą, oraz gdy mają inne źródło, lecz w obu przypadkach należy przekazać informacje o udostępnieniu danych osobom trzecim.
66. Prawodawca krajowy posiada szeroki zakres swobodnego uznania w chwili ustanawiania obowiązków nałożonych przez wskazane art. 10 i 11. Niemniej jednak przepisy te mają na celu powiadomienie osoby, której dane dotyczą, że zostały one ujawnione, aby umożliwić jej, jeżeli sobie tego życzy, uzyskanie dostępu do informacji dotyczących przetwarzania danych i do czuwania nad tym, czy dane są przetwarzane zgodnie z zasadami wskazanymi w art. 6 dyrektywy 95/46. Jednakże powiadomienia te różnią się w poszczególnych okolicznościach, co powoduje, że zadaniem sądu krajowego jest ocenić, czy przepisy niderlandzkie, jak również odpowiadająca im praktyka administracji gminnej, są zgodne z treścią wskazanych powyżej art. 10 i 11. Właściwe wydaje się ustalenie, czy M.E.E. Rijkeboer został powiadomiony o przekazaniu dotyczących go danych i czy pouczono go o terminie rocznym, w którym może on wykonać przysługujące mu prawo dostępu. Państwom członkowskim nie został narzucony wymóg notyfikowania takiego terminu, ponieważ nie przewidują go art. 10 i 11(50). Niezależnie od powyższego, przy ocenianiu długości tego terminu nabiera dużej wagi kwestia, czy został on notyfikowany osobie, której dane dotyczą. W przeciwnym razie trudno jest przyjąć, że termin tak krótki jak okres roczny, przy jednoczesnym braku dalszych wyjaśnień ze strony administratora danych, jest możliwy do pogodzenia z zasadą proporcjonalności i – co za tym idzie – z dyrektywą 95/46.
67. Tak samo nabiera szczególnego znaczenia rodzaj przekazywanych informacji, gdyż jak to przewiduje dyrektywa, dane, które należy dostarczyć, mogą obejmować tożsamość odbiorców danych, lecz również mogą ograniczyć się do „kategorii odbiorców”. Ta druga opcja skutkuje tym, że przekazywane wykazy nie zawsze wskazują, kto miał dostęp do danych, stawiając zainteresowaną osobę w mniej korzystnym położeniu w zakresie wykonywania prawa dostępu. Do sądu krajowego należy ustalenie, w jakim zakresie i w jakiej formie przekazano M.E.E. Rijkeboerowi informacje dotyczące odbiorców danych. Dokonując tych ustaleń, należy wzmocnić kontrolę terminu w sytuacji, gdy nie zostały przekazane informacje dotyczące tożsamości osób trzecich, bowiem osoba, której dane dotyczą, może obawiać się, że przetwarzanie nie jest zgodne z zasadami wynikającymi z art. 6.
68. Wreszcie należałoby ustalić pewne reguły w zakresie ciężaru dowodu. M.E.E. Rijkeboer, jako osoba uprawniona tytułem prawa podstawowego, musiał posłużyć się postępowaniem sądowym, aby dowiedzieć się, w jaki sposób dotyczące go dane były przetwarzane(51). Zgodność z dyrektywą 95/46 zależy od szeregu elementów stanu faktycznego, które wynikają z samych przepisów krajowych i z praktyki administracji gminnej. M.E.E. Rijkeboer przystąpił do postępowania, powołując się na swoje prawo podstawowe, lecz nie powinien być obciążony wymogiem wykazania braków występujących w przepisach jego kraju, gdyż treść dyrektywy 95/46 skłania ku poglądowi, zgodnie z tym, co zostało wskazane w pkt 29–35 niniejszej opinii, że prawo dostępu korzysta z pierwszeństwa i jakikolwiek wyjątek wobec niego musi być szacowany z niezmierną ostrożnością. W ten sposób, stawiając na pierwszym miejscu podmiotowy charakter norm prawa wspólnotowego w zakresie ochrony danych osobowych, do administratora tych danych należy wykazanie, że ramy prawne i praktyka stosowana przy przetwarzaniu danych dają gwarancje, które uzasadniają tak krótki termin jak okres roku na wykonywanie prawa wynikającego z treści art. 12 dyrektywy 95/46.
69. W uwagach przekazanych w toku niniejszego postępowania, College dostarczył w tym względzie pewnych wskazówek. Prawodawstwo krajowe ustanawia system wagi i przeciwwagi (jak to graficznie ujął College – „checks and balances”), który harmonizuje prawo dostępu z pewnymi środkami ochronnymi, takimi jak ograniczenie kręgu odbiorców, zobowiązanie w określonych przypadkach do przetwarzania w oznaczonych celach, uprzednia zgoda osoby, której dane dotyczą, lub mechanizm nadzoru sprawowanego przez niezależny organ. Ponadto, zgodnie z tym, co twierdzi College, osobę, której dane dotyczą, poucza się o terminie rocznym, zarówno indywidualnie, jak i zbiorczo (za pośrednictwem Internetu oraz w ulotkach przekazywanych do dyspozycji mieszkańcom)(52).
70. Jestem świadomy skutków, jakie może wywołać ta sprawa dla administratorów danych, którzy podlegają tym regulacjom. Niemniej jednak nadrzędna wartość ochrony jednostki skłania mnie do pogodzenia ochrony praw ze sprawnym przetwarzaniem danych. Co za tym idzie, art. 6 i 12 dyrektywy 95/46 powinny być interpretowane w ten sposób, że niezgodny z ich treścią jest termin roczny na wykonanie prawa dostępu do informacji dotyczących przetwarzania, o ile:
– osoba, której dane dotyczą, nie została poinformowana o udostępnieniu danych;
– lub, nawet jeśli przekazano jej te informacje, nie została poinformowana o długości terminu;
– lub, nawet jeśli została o tym poinformowana, nie udzielono jej wystarczających informacji co do tożsamości odbiorców danych.
71. Mając nad sobą prawo podstawowe, College musi wykazać, że przepisy krajowe i praktyka administracyjna gwarantują odpowiedni poziom informacji przekazywanych osobie, której dane dotyczą, umożliwiający jej nieograniczone wykonywanie przysługującego jej prawa dostępu.
72. W świetle powyższych kryteriów, jak również okoliczności prawnych i faktycznych, przedstawionych zarówno w tym postępowaniu, jak i w sporze przed sądem krajowym, zadaniem Raad van State jest zastosowanie art. 6 i 12 dyrektywy 95/46 zgodnie z tym, co zostało wskazane w pkt 70 i 71 niniejszej opinii.
X – Wnioski
73. Mając powyższe na uwadze, proponuję, aby Trybunał udzielił na pytanie prejudycjalne przedłożone przez Raad van State następującej odpowiedzi:
Informacje dotyczące przetwarzania danych, w tym informacje odnoszące się do udostępniania danych osobom trzecim, stanowią dane osobowe w rozumieniu art. 2 lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Aby zagwarantować skuteczność (effet utile) dyrektywy 95/46, termin na usunięcie danych mający zastosowanie do informacji dotyczących przetwarzania jest równy terminowi przewidzianemu dla danych osobowych, z zastrzeżeniem praw i obowiązków, które wymieniona wyżej dyrektywa przyznaje odbiorcom danych.
Termin roczny na wykonanie prawa dostępu do informacji dotyczących przetwarzania danych jest niezgodny z art. 6 i 12 wskazanej dyrektywy 95/46 zawsze gdy:
– osoba, której dane dotyczą, nie została poinformowana o udostępnieniu danych;
– lub, nawet jeśli przekazano jej te informacje, nie została poinformowana o długości terminu;
– lub, nawet jeśli została o tym poinformowana, nie udzielono jej wystarczających informacji co do tożsamości odbiorców danych.
Na administratorze danych ciąży obowiązek wykazania, że przepisy krajowe i praktyka administracyjna zapewniają odpowiedni poziom informacji udzielanych osobie, której dane dotyczą, umożliwiający jej nieograniczone wykonywanie prawa dostępu.