SKLEPNI PREDLOGI GENERALNEGA PRAVOBRANILCA
DÁMASA RUIZ-JARABOJA COLOMERJA,
predstavljeni 22. decembra 2008(1)
Zadeva C‑553/07
College van burgemeester en wethouders van Rotterdam
proti
M. E. E. Rijkeboer
(Predlog za sprejetje predhodne odločbe, ki ga je vložil Raad van State (Nizozemska))
„Varstvo podatkov – Temeljne svoboščine – Direktiva 95/46/ES – Pravica do dostopa do osebnih podatkov – Izbris – Posredovanje tretjim strankam – Rok za uresničevanje pravice do dostopa – Načelo sorazmernosti“
I – Uvod
1. Raad van State (nizozemski državni svet) je Sodišču predložil vprašanje za predhodno odločanje o razlagi členov 6 in 12 Direktive 95/46/ES o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov.(2) Ta predlog za sprejetje predhodne odločbe sega na težavno področje: nanaša se na izbris in posredovanje osebnih podatkov, ki jih ima mestna uprava, tretjim strankam ter na pravico do dostopa do podatkov o njihovi obdelavi.
2. Načeloma je uničenje podatkov zaščitni ukrep. Vendar ima še druge posledice, kajti z uničenjem zbirk se izgubijo sledi o njihovi uporabi. Oseba, ki je bila na videz zaščitena, je hkrati oškodovana, saj nikdar ne bo izvedela, kaj je imetnik osebnih podatkov z njimi počel.(3)
3. Na tej podlagi mora Sodišče odločiti, ali rok za izbris podatkov deluje kot časovna omejitev pravice do dostopa do informacij o obdelavi. Če je odgovor pritrdilen, je treba ugotoviti, ali enoletno obdobje zadošča in ali je sorazmerno za varstvo pravic, določenih z Direktivo 95/46.
II – Dejstva
4. V predložitveni odločbi je navedeno, da je M. Rijkeboer na podlagi arhivov lokalne uprave prosil College van burgemeester en wethouders van Rotterdam (rotterdamski občinski svet, v nadaljevanju: College) za seznam informacij, ki se nanašajo nanj in so bile posredovane tretjim strankam v preteklih dveh letih. College je z odločbama z dne 27. in 29. novembra 2005 delno zavrnil prošnjo M. Rijkeboerja in mu poslal samo podatke za preteklo leto. M. Rijkeboer se s to odločitvijo mestne uprave ni strinjal, zato je vložil ugovor, ki je bil zavrnjen 13. februarja 2006.
5. Upravna pravna sredstva so bila tako izčrpana, Rechtbank Rotterdam (sodišče v Rotterdamu) pa je ugodilo tožbi M. Rijkeboerja. Rechtbank Rotterdam je s sodbo z dne 17. novembra 2006 razveljavilo upravno odločbo, s katero so bile zavrnjene nekatere zahteve zadevne osebe, in naložilo College, naj sprejme novo odločbo.
6. College se je 28. decembra 2006 pritožil pri oddelku za upravne spore pri Raad van State, ki je z odločbo z dne 5. decembra 2007 prekinilo postopek v glavni stvari in Sodišču predložilo vprašanje za predhodno odločanje.
III – Pravni okvir
A – Pravni okvir Skupnosti
7. V členu 6(1) in (2) EU je zapisana zavezanost Unije temeljnim pravicam:
„Člen 6
1. Unija temelji na načelih svobode, demokracije, spoštovanja človekovih pravic in temeljnih svoboščin ter pravne države, na načelih, ki so skupna vsem državam članicam.
2. Unija spoštuje temeljne pravice, kakršne zagotavlja Evropska konvencija o varstvu človekovih pravic in temeljnih svoboščin, podpisana v Rimu 4. novembra 1950, in ki kot splošna načela prava Skupnosti izhajajo iz skupnih ustavnih tradicij držav članic.
[…]“
8. Temeljna pravica do spoštovanja zasebnosti kot splošno načelo prava Skupnosti je zapisana v Direktivi 95/46 o varstvu posameznikov pri obdelavi osebnih podatkov. To besedilo, katerega načela so bila povzeta v členu 8 Listine Evropske unije o temeljnih pravicah, opredeljuje pojem „podatki“ in določa, da se podatki po določenem obdobju obdelave zbrišejo. V členu 2(a) in členu 6 te direktive je določeno:
„Člen 2
[…]
(a) ,osebni podatek‘ pomeni katero koli informacijo, ki se nanaša na določeno ali določljivo fizično osebo (,posameznik, na katerega se nanašajo osebni podatki‘); določljiva oseba je tista, ki se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali socialno identiteto;
[…]
Člen 6
1. Države članice določijo, da morajo biti osebni podatki:
[…]
(e) shranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se osebni podatki nanašajo, le toliko časa, kolikor je potrebno za namene, za katere so bili podatki zbrani ali za katere se naprej obdelujejo. Države članice določijo ustrezne zaščitne ukrepe za osebne podatke, shranjene za daljša obdobja za zgodovinsko, statistično ali znanstveno uporabo.“
9. Za zagotavljanje pregledne obdelave podatkov so v členih 10 in 11 Direktive 95/46 določene obveznosti glede obveščanja posameznika, na katerega se nanašajo podatki, ki so odvisne od tega, ali so bili podatki pridobljeni od te osebe ali ne. Za upravljavca zbirke podatkov med drugim veljajo naslednje obveznosti:
„Člen 10
Informacije v primerih zbiranja podatkov od posameznika, na katerega se osebni podatki nanašajo
Države članice določijo, da morata upravljavec ali njegov predstavnik zagotoviti posamezniku, na katerega se osebni podatki nanašajo in od katerega se podatki v zvezi z njim zbirajo, vsaj naslednje informacije, razen kadar jih že ima:
(a) istovetnost upravljavca ali njegovega predstavnika, če obstaja;
(b) namene obdelave podatkov;
(c) vse nadaljnje informacije, npr.
– prejemnike ali vrste prejemnikov podatkov,
– ali so odgovori na vprašanja obvezni ali prostovoljni, pa tudi možne posledice, če ne odgovori,
– obstoj pravice do dostopa in pravice do popravka podatkov, ki se nanašajo nanj,
kolikor so take nadaljnje informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki zbirajo, za zagotovitev poštene obdelave glede na posameznika, na katerega se osebni podatki nanašajo.
Člen 11
Informacije, kadar podatki niso bili pridobljeni od posameznika, na katerega se osebni podatki nanašajo
1. Kadar podatki niso bili pridobljeni od posameznika, na katerega se osebni podatki nanašajo, države članice zagotovijo, da mora upravljavec ali njegov predstavnik med zbiranjem osebnih podatkov ali, če se predvideva posredovanje tretji stranki, najpozneje tedaj, ko se podatki prvič posredujejo, zagotoviti posamezniku, na katerega se osebni podatki nanašajo, vsaj naslednje informacije, razen kadar jih že ima:
– istovetnost upravljavca ali njegovega predstavnika, če obstaja;
– namene obdelave;
– vse nadaljnje informacije, npr.
– vrste zadevnih podatkov,
– prejemnike ali vrste prejemnikov,
– obstoj pravice do dostopa in pravice do popravka podatkov, ki se nanašajo nanj,
kolikor so take nadaljnje informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki obdelujejo, za zagotovitev poštene obdelave glede na posameznika, na katerega se osebni podatki nanašajo.
[…]“
10. Osebe, na katere se podatki nanašajo, lahko pravilno uporabo teh podatkov preverjajo z uresničevanjem svoje „pravice do dostopa“, katere glavne lastnosti so opredeljene v členu 12 Direktive 95/46. Prvi primer, določen v tem členu, je upošteven v obravnavani zadevi:
„Člen 12
Pravica do dostopa
Države članice jamčijo vsakemu posamezniku, na katerega se osebni podatki nanašajo, pravico, da pridobi od upravljavca:
(a) brez omejitev v razumnem času in brez večjih zamud ali stroškov:
– potrditev tega, ali se podatki v zvezi z njim obdelujejo ali ne, in informacije vsaj glede namenov obdelave, vrste zadevnih podatkov in prejemnikov ali vrste prejemnikov, ki so jim podatki posredovani,
– sporočilo v razumljivi obliki o osebnih podatkih, ki so v obdelavi, in vseh razpoložljivih informacijah glede njihovega vira,
– informacije o logiki, zajeti v vse avtomatske obdelave podatkov, ki se nanašajo nanj, vsaj pri avtomatiziranih odločitvah iz člena 15(1).
[…]“
11. V primerih, navedenih v členu 13 Direktive 95/46, lahko države članice omejijo obveznost izbrisa podatkov in pravico do dostopa:
„Člen 13
[…]
1. Države članice lahko sprejmejo predpise za omejitev obsega obveznosti in pravic, opredeljenih v členih 6(1), 10, 11(1), 12 in 21, kadar taka omejitev predstavlja potrebni ukrep za zaščito:
(a) državne varnosti;
(b) obrambe;
(c) javne varnosti;
(d) preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj ali kršitve etike za zakonsko urejene poklice;
(e) pomembnega gospodarskega ali finančnega interesa države članice ali Evropske unije, vključno z denarnimi, proračunskimi in davčnimi zadevami;
(f) spremljanja, pregledovanja ali urejanja, povezanega, četudi občasno, z izvajanjem javne oblasti v primerih iz (c), (d) in (e);
(g) posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.
[…]“
B – Nacionalni pravni okvir
12. Direktiva 95/46 je bila prenesena v nizozemski pravni red s splošnim zakonom Wet bescherming persoonsgegevens (zakon o varstvu osebnih podatkov). V obravnavanem postopku predhodnega odločanja je ta zakon drugotnega pomena, ker za občine velja posebna pravna ureditev, ki izhaja iz Wet gemeentelijke basisadministratie persoonsgegevens (zakon o osebnih podatkih, ki jih imajo lokalne uprave). V členu 103(1) so določeni pogoji, pod katerimi posameznik lahko dobi informacije o obdelavi podatkov, ki se nanašajo nanj:
„Člen 103
College van burgemeester en wethouders zadevni osebi na njeno zahtevo v štirih tednih pisno sporoči, ali so bili podatki, ki se nanašajo nanjo in so shranjeni v bazi podatkov, v letu pred zahtevo bili posredovani kakemu prosilcu ali tretji stranki.
[…]“
IV – Vprašanje za predhodno odločanje
13. Sodno tajništvo Sodišča je 12. decembra 2007 prejelo predlog za sprejetje predhodne odločbe, ki ga je vložilo Raad van State in vsebuje vprašanje:
„Ali je omejitev posredovanja podatkov, ki jo določa nizozemski zakon, na podatke iz enega leta pred vložitvijo zadevne zahteve združljiva s členom 12 uvodni stavek in (a) Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, v zvezi s členom 6(1)(e) te direktive in z načelom sorazmernosti?“.
14. College ter nizozemska, grška, češka, španska vlada in vlada Združenega Kraljestva ter Komisija so stališča vložili v roku, predpisanem v členu 23 Statuta Sodišča.
15. Zastopniki College in M. Rijkeboerja ter zastopniki nizozemske, češke, in španske vlade, vlade Združenega Kraljestva ter Komisije so med obravnavo 20. novembra 2008 ustno podali navedbe.
V – Razmejitev spornega vprašanja
16. Ta zadeva odpira več konceptualno zapletenih vprašanj. V bistvu je treba določiti, ali lahko obstaja poseben rok za izbris informacij o obdelavi osebnih podatkov. Ko so ti podatki v skladu z Direktivo 95/46 enkrat izbrisani, so vrata pravici do dostopa zaprta, ker pač ni mogoče zahtevati informacije, ki je ni več. Zato razprava poteka okrog omejitve pooblastila, ki je prav tako izrecno določeno z Direktivo 95/46. Ta napetost med izbrisom podatkov in pravico do dostopa razkriva notranje neskladje v tej direktivi, o katerem mora odločiti Sodišče.
17. Zato je torej treba ugotoviti, ali za podatke o obdelavi podatkov velja oziroma lahko velja enaka ureditev kot za osebne podatke. Treba je tudi preizkusiti, ali rok za izbris podatkov v vsakem primeru učinkuje kot omejitev pravice do dostopa. Na ta vprašanja je treba odgovoriti glede na dejanski in normativni okvir, čeprav ni preveč jasen, saj Raad van State ni navedel, ali je rok, ki je določen za izbris podatkov o obdelavi podatkov, enak ali krajši od roka, določenega za izbris osebnih podatkov. Zato je treba analizirati oba primera, da bi predložitvenemu sodišču zagotovili primeren odgovor.
VI – Predhodna razprava: uravnoteženje interesov z vidika temeljnih pravic Unije
A – Temeljna pravica do varstva zasebnosti in njen razvoj v Skupnosti
18. Evropska unija v skladu z načeli svoje ustanovne listine(4) temelji na temeljnih pravicah, katerih spoštovanje zagotavlja Sodišče(5). Po več kot desetletnem razvoju sodne prakse, ki se je začel s sodbama Stauder(6) in Internationale Handelsgesellschaft(7), so države članice v celoti priznale strukturno lastnost teh pravic, s tem ko so sprejele člen F Enotnega evropskega akta, ki je kasneje postal člen 6 EU. V tej določbi je zapisano, da Unija spoštuje temeljne pravice, ki jih zagotavlja Evropska konvencija o varstvu človekovih pravic in temeljnih svoboščin (v nadaljevanju: EKČP)(8) ter izhajajo iz skupnih ustavnih tradicij držav članic.
19. Pravica do varstva zasebnosti je del teh tradicij. Od sodbe Stauder(9) je varstvo zasebnosti s sodno prakso vključeno v splošna načela prava Skupnosti. Najprej je bilo to storjeno v okviru obveznosti posredovanja podatkov, kot so priimek(10) ali zdravstveni podatki(11) na nacionalni(12) ravni in na ravni Skupnosti(13). Kmalu nato, v devetdesetih letih, je Sodišče dokazalo vpliv te pravice na področju zasebnega(14) in družinskega(15) življenja.
20. Leto 1995 je bilo prelomno, saj je bila sprejeta Direktiva 95/46 o varstvu posameznikov pri obdelavi osebnih podatkov. Sodna praksa Sodišča, ki do takrat ni bila enotna in se je oblikovala od primera do primera, je tako dobila trdnejšo podlago, kajti v tej direktivi so podrobno razmejeni namen(16), subjekti(17) in morebitna pravna sredstva, ki so na voljo osebi, kadar krožijo podatki, ki se nanašajo nanjo(18). V uvodni izjavi 10 Direktive 95/46 je zapisano, da je ta direktiva instrument za varovanje temeljnih pravic, kot so priznane z EKČP in s splošnimi načeli prava Skupnosti.(19) S sodbo Österreichischer Rundfunk je bilo potrjeno, da je pomemben vidik Direktive 95/46, katere cilj je sicer zagotavljanje prostega pretoka podatkov, tudi varstvo temeljnih pravic.(20)
21. Z Direktivo 95/46 se torej razvija temeljna pravica do varstva zasebnosti v zvezi z avtomatsko obdelavo osebnih podatkov.(21)
22. Kot dokaz te volje po kodifikaciji zadošča napotitev na člen 8 Listine Evropske unije o temeljnih pravicah(22), ki se nanaša na „varstvo osebnih podatkov“ ter s katerim je določena pravica do dostopa in poštene obdelave teh podatkov. S tem členom je priznana tudi pravica do dostopa do podatkov in pravica zahtevati, da se ti podatki popravijo. Kljub previdnosti, s katero je treba uporabljati to listino(23), je težko prezreti njene določbe in trditi, da ti pravni elementi niso del ustavnih tradicij držav članic(24). To ugotovitev podpira dejstvo, da je od sprejetja Direktive 95/46 preteklo več kot deset let in da je na tem področju prišlo do učinkovitega usklajevanja.(25)
23. Člen 8 Listine poudarja prav ta vidika, ki sta upoštevna za spor o glavni stvari. Navedena sta v členih 6 in 12 Direktive 95/46. Po eni strani gre za obveznost izbrisa podatkov, ko preteče toliko časa, kolikor je potrebno za namene, za katere so bili podatki zbrani (člen 6(1)(e)), po drugi strani pa za pravico do dostopa brez omejitev do podatkov o prejemnikih, ki so jim podatki posredovani (člen 12(a)). Ker Listina ta vidika povzema in ju vključuje v vsebino temeljne pravice do varstva zasebnosti, je treba pri vprašanju za predhodno odločanje Raad van State uravnotežiti interese, da bi našli razumno rešitev, ki umešča določbe v ustrezen ustavni okvir.(26)
24. Najprej je treba pri predstavitvi ključa za razumevanje Direktive 95/46 to preučiti s teleološkega vidika, da bi lahko določili prevladujoči interes.
B – Temeljna pravica do varstva zasebnosti in njene notranje napetosti
25. Ta zadeva se ne nanaša na dve temeljni pravici, temveč na dva vidika iste pravice. V nasprotju s primeri, v katerih je na primer prišlo do navzkrižij med pravico do dostojanstva in svobodo obveščanja ali med pravico do zasebnosti in lastninsko pravico, se ta primer nanaša na dve obveznosti javnih organov: obveznost, da se določijo roki za uničenje zbirk osebnih podatkov, in obveznost, da se osebam, na katere se podatki nanašajo, zagotovi dostop do njih. Po tej posebnosti se primer M. Rijkeboer razlikuje od drugih zadev, v katerih je Sodišče že razsodilo, kot sta na primer zadevi Lindqvist(27) ali Promusicae(28), v katerih je prišlo do navzkrižja med varstvom zasebnosti in pravico do svobode religije oziroma lastninsko pravico.(29) Ta primer pa se nasprotno nanaša na notranje navzkrižje samo ene pravice, ki ima po vzoru dr. Jekylla in g. Hyda dve duši, kajti znotraj te pravice soobstajata, kot bom predstavil kasneje, dobrota ter hladna in preračunljiva brezčutnost.
26. Shranjevanje podatkov, ki ga izvajajo upravljavci, je časovno omejena naloga, saj Direktiva 95/46 določa, da se podatki hranijo le toliko časa, kolikor je potrebno za namene, za katere so bili podatki zbrani ali za katere se naprej obdelujejo. Ta določenost iz člena 6 državam članicam prepušča, da lahko določijo ustrezne roke glede na sektorje in namene, zaradi katerih so bile zbirke podatkov ustvarjene in nato uničene. Kljub prožnosti, ki jo ta določba daje vsakemu nacionalnemu pravnemu redu, so v členu 13 Direktive 95/46 določene izjeme od tega načela, s tem ko je dovoljeno shranjevanje, daljše od običajnega, če to zahtevajo splošni interesi, kot so državna varnost, boj proti kriminalu ali znanstveno raziskovanje.
27. Uvodne izjave Direktive 95/46, ki te okoliščine ne omenjajo, ne pripisujejo posebnega pomena omejitvam shranjevanja podatkov. Ker se na to obveznost nanašata samo člena 6 in 12 ter ob upoštevanju velikodušne pravice do proste presoje, ki jo Direktiva 95/46 podeljuje državam članicam, menim, da se zakonodajalec Skupnosti ni osredotočil na to vprašanje, kot je razvidno iz nasprotja med pravili, ki se nanj nanašajo, in pravili v zvezi s pravico do dostopa.(30)
28. Možnost, da posameznik, na katerega se nanašajo podatki, pridobi te podatke in zahteva, da se jih popravi, izbriše ali blokira, je eden od bistvenih vidikov Direktive 95/46. Z uvodnima izjavama 38 in 40 te direktive je ta misel potrjena, ne samo zaradi potrditve pomena pravice do dostopa, ampak tudi zaradi posredne povezave med informacijo, ki jo ima posameznik, na katerega se nanašajo podatki, in obdelavo teh podatkov. Da bi pravice, priznane s členom 12, lahko zaživele, mora namreč veljati več temeljnih načel, brez katerih bi bila jamstva iz te določbe vsebinsko prazna. V uvodni izjavi 41 je to zelo jasno navedeno, saj „mora biti vsaka oseba sposobna uresničiti pravico dostopa do podatkov v obdelavi, ki se nanašajo nanjo, da bi preverila zlasti njihovo točnost in zakonitost“(31) obdelave. Tukaj se pokaže polni pomen „načel v zvezi s kakovostjo podatkov“, navedenih v oddelku I poglavja II Direktive 95/46. Eno od teh načel je obveznost shranjevanja podatkov le toliko časa, „kolikor je potrebno za namene“, za katere so bili podatki zbrani. Obveznost, da se zbirke podatkov uničijo, je povezana z obveznostjo, da so podatki „pošteno in zakonito“ obdelani, ter obveznostjo, da se zagotovi njihova kakovost, da so primerni, ustrezni, ne pretirani in točni(32).
C – Akcesornost člena 6 v primerjavi s členom 12 Direktive 95/46
29. Zavedam se, da je težko določiti, kateri od členov 6 in 12 Direktive 95/46 ima prednost. Obstajajo resne utemeljitve za to, da je izbris podatkov osrednji element sistema, vzpostavljenega z Direktivo 95/46, ki uvaja pravico do dostopa za osebe, na katere se podatki nanašajo, kar jim omogoča, da nadzorujejo izpolnjevanje obveznosti o izbrisu podatkov. Z enakega vidika razmišljanja je pravica do zaščite določena v členu 12, saj je dostop resnična subjektivna razsežnost Direktive, ki na kratko povedano omogoča posameznikom, da se odzovejo in branijo svoje interese.
30. V takih okoliščinah se ne morem upreti skušnjavi, da ne bi omenil starega vprašanja o jajcu in kokoši. Kaj je bilo prej? Ali lahko živimo s tem večnim vprašanjem in dopustimo, da nikdar ne bo dobilo odgovora, saj sta pojma, kot je napisal Aristotel, večni bitnosti(33)?
31. Sodišča ne uživajo svobode filozofske misli in se morajo potruditi ter dati odgovor, tudi če ta ni vedno najpravilnejši. Zato nameravam, podobno kot so nekateri znanstveniki zavzeli svoja stališča v večnem sporu o kokoši in jajcu(34), predstaviti rešitev za spor med členoma 6 in 12 Direktive 95/46.
32. Iz ugotovitev, predstavljenih v točkah od 29 do 35 teh sklepnih predlogov, sklepam, da je iz Direktive 95/46 razvidno, da je izbris podatkov podrejen pravici do dostopa. Določbe Direktive zagotavljajo pravico, ki nastane z nastankom zbirke podatkov in izgine z njenim izbrisom. Zato je izbris podatkov samo trenutek med obstojem pravice do dostopa. Ta značilnost je pogojena in upravičena s členom 12.
33. Tak način razmišljanja vodi v prepričanje, da je namen pravice do dostopa, da posameznik, na katerega se nanašajo podatki, pozna te podatke. To misel je mogoče poglobiti z vprašanjem, s kakšnim namenom ta oseba poizveduje. V številnih primerih želi imetnik pravice do dostopa preveriti, ali se podatki, ki se nanj nanašajo, obdelujejo zakonito. V Direktivi 95/46 so določena nekatera načela, ki veljajo za upravljavce pri opravljanju njihovih dejavnosti, Direktiva pa črpa svojo moč tudi iz zaščitnih mehanizmov, med katerimi je pravica do dostopa, ki ima vlogo orodja, s katerim posameznik, na katerega se nanašajo podatki, lahko nadzira in uveljavi pravico.
34. Člen 12 kot glavna os sistema jamstev, vzpostavljenih z Direktivo 95/46, ne bi bil logičen, če za imetnike podatkov o tretjih strankah ne bi veljalo nobeno pravilo. V skladu s tem, kar je Komisija upravičeno navedla na obravnavi, je prav zato, ker obstajajo načela o obdelavi podatkov (člen 6), uvedena pravica do dostopa.(35) Ta nastopa kot glavni steber te direktive, kot se pokaže v členu 12, v katerem se posledica vztrajanja pri pomenskem odtenku kaže v uporabi izraza „brez omejitev“.(36) Ob upoštevanju varstvenih lastnosti Direktive 95/46, ki se osredotoča na obrambo oseb, na katere se podatki nanašajo, postane očitno, da je obveznost shranjevanja podatkov sekundarna v primerjavi s pravico do dostopa. Močno subjektivno nagnjenje te direktive in njen cilj varovati temeljne pravice (v tem primeru pravice do varstva zasebnosti) potrjujeta to mnenje in umeščata prikrite interese iz člena 6 na nižjo normativno raven.
35. To trditev potrjuje zgradba člena 8 Listine Evropske unije o temeljnih pravicah, katerega hermenevtična vrednost je gotova(37) in ki pravico do dostopa obravnava v prvem odstavku. Nato so v odstavku 2 tega člena našteta načela v zvezi z obdelavo podatkov, ki pa so v takem hierarhičnem zaporedju, da ima pravica posameznika, na katerega se nanašajo podatki, prednost pred odgovornostjo uporabnika teh podatkov.
36. Na podlagi te in ob opozorilu Sodišču, da ima Direktiva 95/46 subjektivno razsežnost, v skladu s katero je člen 12 v primerjavi s členom 6 pomembnejši, začenjam analizo vprašanja Raad van State.
VII – Osebni podatki in podatki o obdelavi
37. V skladu s tem, kar sem navedel v točkah 16 in 17 teh sklepnih predlogov, je treba ločeno preučiti dve predpostavki, katerih upoštevnost je odvisna od okoliščin vsakega primera, tako da se analizira zakonitost roka, če je ta krajši od roka za glavne podatke in če je rok, določen za dostop do podatkov o obdelavi, enak roku za dostop do glavnih podatkov. Pri prvem primeru je treba določiti, ali Direktiva dopušča ti neodvisni kategoriji dostopa glede na značilnosti zahtevanih podatkov. Pri drugem primeru je problematično vprašanje, ali je mogoč dostop, potem ko so bili podatki izbrisani.
38. Za nesporen odgovor na vprašanje Raad van State je treba nujno najprej določiti, ali je treba roke za izbris uporabljati na splošno za vse podatke, vključno s podatki o obdelavi, ali so roki lahko različni glede na značilnosti osebnih podatkov. Obstaja bistvena razlika, ki izhaja iz namena vsake kategorije podatkov.
39. Vladi Helenske republike in Češke republike sta med obravnavo poudarili, da so različne kategorije podatkov namenjene različnim ciljem. V nadaljevanju je treba predstaviti prednosti in slabosti tega sklepanja ter tudi njegove posledice za zadevo v glavni stvari.
40. Namen uničenja osebnih podatkov je zaščititi posameznika, na katerega se nanašajo podatki, ker z izbrisom podatkov izgine tudi tveganje za njihovo nezakonito obdelavo. Dejstvo, da v členu 6 Direktive 95/46 ni opredeljen noben rok, ima določeno logiko, kajti vsaka zbirka podatkov služi svojim ciljem in v skladu z načelom subsidiarnosti je primerneje, če nacionalni zakonodajalec odloči, koliko časa za shranjevanje imajo upravljavci, preden uničijo podatke. Vendar izbris podatkov o obdelavi ustreza drugačnim ciljem, ker ne ščiti posameznika, na katerega se nanašajo podatki, ki izgubi sled za podatki in ne more uresničiti svoje pravice do dostopa, saj upravljavec upoštevnih podatkov nima več. Izbris podatkov koristi tretjim strankam, ki so prejele podatke, njihova identiteta in nameni pa so izbrisani.
41. Ta pristop poudarja prikrite težave v zasnovi v tej zadevi. Jasno je, da je mogoče razlikovati med izbrisom podatkov in izbrisom podatkov o njihovi obdelavi.(38) Predmet razprave so različne pravne dobrine in avtonomne funkcije, ki jih ločeno ureja Direktiva 95/46. Vendar tako sklepanje, če se ga pripelje do skrajnosti, povzroči nezaželene posledice. Prvič, za neenakost med tema kategorijama podatkov ni podlage v besedilu Direktive 95/46, ker se člen 6 nanaša na izbris podatkov na splošno, medtem ko so v členu 12 naštete različne vrste podatkov, da bi pravico do dostopa opredelili vsebinsko in ne zaradi razlikovanja(39). Drugič, v okviru široke razlage je pravica do dostopa zasnovana zato, da se uresničuje „brez omejitev“. Kot bom navedel v nadaljevanju, je mogoče razmejiti stopnjo varstva te pravice glede na okoliščine, vendar besedilo člena 12 izključuje obstoj prvorazredne in drugorazredne pravice do dostopa. Tretjič, kot so na obravnavi poudarili Komisija, Kraljevina Španija in Združeno kraljestvo, obe kategoriji podatkov tvorita tehnološko enoto in se običajno obdelujeta v istih zbirkah podatkov, njuno skupno upravljanje pa za upravljavce ni posebno pomembna naloga.
42. Zato zavračam teorijo, da naj bi podatki o obdelavi imeli svoj obstoj in svojo pravno ureditev. Podatki o obdelavi so povezani z osebnimi podatki, ki so v obdelavi, ker razložijo, kako in pod kakšnimi pogoji se z njimi ravna, zato zagovarjam misel, da so ti podatki bistven del opredelitve „podatka“ iz člena 2(a) Direktive 95/46 na ravni Skupnosti. Da bi predložitvenemu sodišču dali koristen odgovor, je treba to trditev razložiti na podlagi dveh primerov, ki ju navajam v točkah 16 in 17 teh sklepnih predlogov.
VIII – Prvi primer: krajši rok za izbris podatkov o obdelavi
43. Zdi se, da se vprašanje, ki ga je postavilo Raad van State, nanaša na ta primer: v nizozemski zakonodaji je predvideno podaljšano shranjevanje osebnih podatkov, vendar je določen krajši rok, to je eno leto, za izbris podatkov o obdelavi. Vendar v predložitveni odločbi zadevni podatki v zadevi v glavni stvari niso dovolj podrobno predstavljeni, zato tvegam in dajem prednost prvemu odgovoru glede na navedeni primer.
44. Zaradi razlogov, navedenih v točkah 37 in 42 teh sklepnih predlogov, menim, da Direktiva 95/46 ne uvaja razlikovanja med osebnimi podatki in podatki o obdelavi. Zavedam se težav s shranjevanjem, ki bi jih povzročil ta pristop, zato menim, da je rok za izbris iz člena 6 Direktive 95/46 enak za obe vrsti podatkov. Čeprav so nameni izbrisa različni glede na vrsto podatkov, si težko zamislim drugačne ureditve, ki bi temeljile na tako umetni delitvi, še zlasti, ker gre za vprašanje temeljne pravice.
45. Kot sem navedel v točkah od 29 do 35 teh sklepnih predlogov, daje besedilo Direktive prednost pravici do dostopa, tej pa so podrejene obveznosti glede izbrisa. V ta namen so osebni podatki in podatki o obdelavi zaščiteni bolje, če se jih hrani enako dolgo.
46. V določenih primerih se čas shranjevanja zdi dolg, vendar to upravičuje splošni interes, na kateri se je prav tako mogoče sklicevati pri podaljšanju življenjske dobe podatkov o obdelavi. Kadar se podatki hranijo izjemno dolgo za zgodovinske, statistične ali znanstvene namene, Direktiva 95/46 zavezuje države članice, da sprejmejo posebne ukrepe, s katerimi se uporaba teh zbirk podatkov prilagodi okoliščinam, ki upravičujejo podaljšano shranjevanje teh podatkov.(40) Zato je treba opredeliti druge ukrepe, ki posamezniku, na katerega se nanašajo podatki, zagotavljajo varstvo, tudi če so podatki prilagojeni za zgodovinsko ali kulturno uporabo v smislu člena 6(e) Direktive 95/46.
47. Kot navaja College v pisnih stališčih in kot je potrdil na obravnavi, poleg tega obstajajo še druge omejitve obveznosti enako dolgega shranjevanja podatkov o obdelavi in osebnih podatkov. Primer, ki ga navaja College, se mi zdi odločilen. Nanaša se na varstvo podatkov o tretjih strankah, ki so prav tako upravičene do varstva, ki izhaja iz Direktive 95/46, kar pa ne pomeni, da je treba osebi, na katero se posredovani podatki primarno nanašajo, odvzeti vse pravice. Ta omejitev povzroči – izključno glede podatkov o tretjih strankah –, da za osebo, na katero se podatki primarno nanašajo, veljajo iste omejitve kot za katerega koli prejemnika za namene Direktive 95/46.
48. Če za osebne podatke in podatke o obdelavi velja skupen rok za izbris, to pomeni, da ni treba presojati sorazmernosti enoletnega roka, določenega v nizozemski zakonodaji. Če je čas shranjevanja osebnih podatkov daljši od časa shranjevanja podatkov o obdelavi, se odgovor na vprašanje za predhodno odločanje ustavi na tej stopnji.
49. Če bi bil normativni okvir zadeve drugačen, bi bil drugačen tudi odgovor na predlog za sprejetje predhodne odločbe, če bi se roki ujemali in bi posameznik, na katerega se nanašajo podatki, prosil za dostop do že uničenega podatka.
IX – Drugi primer: enak rok za izbris obeh kategorij podatkov
A – Besedilo člena 12 Direktive 95/46
50. Kraljevina Španija, Češka republika in Nizozemska glede na besedilo člena 12(a), druga alinea, menijo, da je s členom 12 ustvarjena povezava med dostopom do podatkov in njihovim izbrisom, določenim v členu 6. Ta določba zavezuje države članice, da zagotovijo pravico pridobiti od upravljavca „sporočilo v razumljivi obliki o osebnih podatkih, ki so v obdelavi, in vseh razpoložljivih informacijah glede njihovega vira“. Iz besedila te določbe izhaja, da Direktiva 95/46 omejuje pravico do dostopa na podatke v obdelavi, kar izključuje zahteve za dostop po končani obdelavi, to je po izbrisu podatkov. To razlago potrjuje primerjava jezikovnih različic, ki se razhajajo v tem, kako intenzivno je izražena začasnost in opredeljenost pravice do dostopa.
51. Ta trditev ni prepričljiva, kajti čeprav se angleška različica nanaša na podatke „undergoing processing“(41), je španska različica („datos objeto de los tratamientos“) dvoumnejša. Priznam, da bi se ozka razlaga besedila bolj ujemala z obveznostjo izbrisa iz člena 6. Vendar ne mislim, da je primerjava jezikovnih različic odločilna, še zlasti, ker obstajajo razlogi za neupoštevanje slovnične zgradbe člena 12, ki jih bom predstavil kasneje.(42)
52. Prav tako se ne pridružujem stališču Kraljevine Španije, da bi bilo treba dodati novo izjemo od člena 12, ki bi se pridružila izjemam v členu 13 Direktive 95/46(43). Španska vlada je najprej dopustila možnost, da se dostop omeji na podatke, ki se obdelujejo, nato pa menila, da se tiha omejitev, katere vsebina izhaja iz zgoraj navedene obveznosti iz člena 6 Direktive, pridružuje omejitvam iz člena 13 Direktive 95/46. Ta razlaga me ne prepriča in izrazito podpira trditev, ki naj bi ji nasprotovala: če so v členu 13 zbrane izjeme od široke pravice do dostopa, jih je treba razlagati ozko. Velikodušna izjema od teh omejitev ni sprejemljiva, zato bi bilo še toliko manj sprejemljivo, če bi iz njih ex novo ustvarili druge kategorije.
53. Skratka, besedilo določb Direktive 95/46 me navaja k temu, da je treba zavreči poenostavljeno presojo pravice do dostopa. Ti razlogi ne vodijo k enotnemu pojmovanju roka, kajti v skladu z notranjo hierarhijo Direktive 95/46 ima pravica do dostopa prednost pred obveznostjo izbrisa. Izbris zbirke podatkov pomeni torej omejitev dostopa, ki je zakonita samo, če so izpolnjena določena jamstva. To pomeni, da je mogoče pogojevati pravico do dostopa (na primer z določitvijo roka), če je posameznik, na katerega se nanašajo podatki, zaščiten z drugimi sredstvi. Če ne bi bilo tako, bi obstajali roki za izbris podatkov, za katere bi se izkazalo, da niso zakoniti, ker bi onemogočili pravico do dostopa, kar pa vseeno ne pomeni, da je treba razločevati med informacijami in zahtevati od upravljavcev, naj za večno shranijo podatke o obdelavi. Nasprotno, to pomeni, da je treba rok za izbris podatkov podaljšati, tako da se zagotovi dostop.
54. Zato menim, da je rok za izbris obenem omejitev pravice iz člena 12 Direktive 95/46. Vendar lahko ta rok ogrozi Direktivo, če pretirano poseže v njene cilje.
B – Izjema: obveščenost zadevne osebe
55. Zaradi navedenega menim, da rok za izbris podatkov ovira uresničevanje pravice do dostopa, čeprav obstajajo okoliščine, v katerih se pokaže zamik med roki za izbris in roki za dostop. Z uporabo besede „zamik“ namigujem na možnost, da je trajanje sorazmerno za izbris in ni sorazmerno za dostop ter obratno. Zavedam se praktičnih zapletov, ki izhajajo iz tega pristopa, vendar je taka posledica mogoča v zelo posebnem okviru, ko zadevna oseba ni bila dovolj obveščena o svojih pravicah.
56. Taka posledica nastopi, če se v skladu z navedbami Helenske republike in Komisije ugotovi, da posameznik, na katerega se nanašajo podatki, ni imel dovolj informacij. Pri razlagi tega je treba opozoriti, da je v členih 10 in 11 Direktive 95/46 določeno, da je treba zadevno osebo obvestiti in jo prositi za določeno število napotkov in/ali dovoljenj, med katerimi je tudi informacija o posredovanju podatkov tretjim strankam. Ta obveznost je zapisana ohlapno in pušča vsaki državi članici širok manevrski prostor. Način, kako so v vsakem nacionalnem pravnem redu oblikovane te obveznosti, pogojuje odgovor v zadevi, kot je ta. Nič ne nasprotuje temu, da oseba, ki pred posredovanjem podatkov ni bila obveščena o istovetnosti prejemnika podatkov ali rokih za uresničevanje pravice do dostopa, uživa visoko stopnjo varstva.(44) Ta posledica je v skladu s primarnostjo, ki jo Direktiva dodeljuje subjektivni pravici posameznika, na katerega se nanašajo podatki, katere omejitev se mora izvajati tako, da je njeno uresničevanje zagotovljeno še po izbrisu podatkov.
57. Če uporabimo to teorijo, se v nekaterih primerih postopek konča z rešitvijo, ki ni izvedljiva. Če je College po uradni dolžnosti uničil vse podatke v zvezi z M. Rijkeboerjem iz let pred preteklim letom, ugovor zadevne osebe ne more pripeljati nikamor. Očitno je, da mesto Rotterdam ne more dati podatkov, ki jih nima več. Mogoče je, da se s to nevšečnostjo soočajo tudi drugi nacionalni pravni redi, vendar samo toliko časa, kolikor je potrebno, da se neusklajena zakonodaja prilagodi pravu Skupnosti. Vendar v vmesnem obdobju zadevni osebi ostane možnost odškodninske odgovornosti države, ki izhaja iz neizpolnitve obveznosti na ravni Skupnosti. Če že ni mogoča izvršitev, ki bi v celoti zadovoljila posameznika, pa ta pravila omogočajo vsaj denarno odškodnino, o priznanju katere odločajo nacionalna sodišča.(45)
58. Nazadnje je treba to zadevo, če uporabimo ameriški izraz, rešiti s pristopom „hard look“(46) glede sorazmernosti, če bo Raad van State ugotovil, da v zadevi v glavni stvari ni dovolj informacij. V tem primeru je nujno, da rok za izbris podatkov samodejno ne ovira pravice do dostopa. Nadzor sorazmernosti je treba izvajati na najvišji stopnji varstva, kar bi povzročilo, da bi bil tako kratek rok, kot je eno leto, težko sprejemljiv.
59. V tem okviru se pridružujem mnenju tistih, ki razumejo izbris podatkov in dostop do njih kot elemente samo ene bitnosti, združene na ravni določitve rokov. Izbris podatkov, predviden v členu 6 Direktive 95/46, se nanaša na vse vrste informacij, vključno z njihovim s posredovanjem tretjim strankam. Zato časovna omejitev za izbris posredno deluje kot rok za določitev trajanja pravice do dostopa. Dejstvo, da se kategorije podatkov razlikujejo glede na dostop, pomeni, da se uvede razločevanje, ki ga v Direktivi 95/46 ni in za katero se poleg tega ne zdi, da bo učinkovito v praksi.(47)
60. Izjeme so mogoče, kadar obveščanje zadevne osebe o njenih pravicah ni dovolj pregledno. V tem primeru mora biti rok za izbris podatkov daljši, da se ohrani pravica do dostopa.
C – Enoletni rok in načelo sorazmernosti
61. V nizozemski zakonodaji je za obdelavo podatkov, ki jo izvajajo občine, določena posebna ureditev, in sicer splošni enoletni rok za uničenje podatkov, ki se uporabi v obravnavani zadevi. Razloge, zakaj je treba to obdobje obravnavati skupaj, za namene člena 6 in člena 12 Direktive 95/46, sem že navedel. Zdaj je treba določiti združljivost tega roka z načelom sorazmernosti, katerega uporaba izhaja iz navedenih členov, kajti oba, rok in načelo, dajeta smisel temeljni pravici.
62. Vlade Združenega kraljestva, Kraljevine Španije in Češke republike so vsa svoja prizadevanja vložile v utemeljitev težav, ki jih pomeni zagotavljanje pravice do dostopa, potem ko so podatki izbrisani. Zato zadevnemu roku niso posvečale pozornosti. Nasprotno sta grška vlada in College v stališča obravnavala posledice nizozemskega roka z vidika Direktive 95/46 in načela sorazmernosti. Po mnenju Helenske republike in Komisije je to obdobje pretirano kratko ter zato ni združljivo s pravnim redom Skupnosti. College se zavzema za zakonitost tega roka, pri čemer se sklicuje na posebnosti nizozemskega sistema, ki kratek rok upravičuje z drugimi ukrepi za varstvo posameznikov, na katere se nanašajo podatki.
63. Pred analizo sorazmernosti nacionalnega roka je treba opozoriti na nekatera pravila, saj je Sodišče ob drugih priložnostih že preučilo podobne roke. V sodni praksi se vidi spremenljiv pristop, ki je odvisen od okvira vsake zadeve. Nadzor je glede na okoliščine bolj ali manj intenziven.(48) Ob morebitni kršitvi temeljnih pravic je treba natančno preučiti rok za uresničevanje teh pravic.(49) Zato je ta nadzor odvisen od več dejavnikov.
64. Kot sem navedel v točkah od 55 do 60 teh sklepnih predlogov, je treba oceniti raven obveščenosti posameznika, na katerega se nanašajo podatki, med njihovo obdelavo. V zvezi s tem lahko navedemo naslednja merila.
65. V skladu s členoma 10 in 11 Direktive ima zadevna oseba pravico, da se ji sporočijo določene informacije, med katerimi je istovetnost „prejemnikov ali vrst prejemnikov [...], kolikor so take nadaljnje informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki zbirajo, za zagotovitev poštene obdelave [...]“ V teh dveh členih se ločeno obravnavajo podatki, pridobljeni od posameznikov, na katere se nanašajo, in podatki drugačnega izvora, čeprav je treba v obeh primerih zagotoviti informacije o posredovanju podatkov tretjim strankam.
66. Nacionalni zakonodajalec ima velik manevrski prostor pri izvajanju obveznosti iz členov 10 in 11 Direktive 95/46, vendar je namen teh določb obveščanje zadevnega posameznika o tem, da so bili podatki, ki se nanašajo nanj, posredovani naprej, zato da ima, če želi, dostop do obdelave podatkov in da lahko preverja skladnost obdelave z načeli iz člena 6 Direktive 95/46. Vendar se informacije razlikujejo glede na okoliščine in predložitveno sodišče mora preveriti, ali nizozemski pravni red in ustrezna občinska praksa spoštujeta določbe členov 10 in 11. Ugotoviti je treba, ali je bil M. Rijkeboer obveščen o posredovanju podatkov in ali je bil obveščen o tem, da lahko svojo pravico do dostopa uveljavlja v enem letu. Države članice niso dolžne sporočati rokov, ker člena 10 in 11 tega ne določata.(50) Vendar je zelo pomembno, da se v okviru presoje njegovega trajanja preveri, ali je bila zadevna oseba obveščena o tej podrobnosti. Če ni bila, je težko sprejemljivo, da bi bilo tako kratko obdobje, kot je eno leto, brez dodatnih pojasnil upravljavca v skladu z načelom sorazmernosti in torej z Direktivo 95/46.
67. Prav tako je izredno pomembno, kakšne so značilnosti posredovanih informacij, kajti kot je priznano v Direktivi, podatki, ki jih je treba sporočiti, lahko vključujejo informacije o istovetnosti prejemnikov in tudi „vrsti prejemnikov“. Druga možnost pomeni, da v predloženih seznamih ni vedno navedeno, kdo je dobil dostop do zbirk podatkov, in zadevna oseba se pri uresničevanju pravice do dostopa znajde v neugodnem položaju. Nacionalno sodišče mora ugotoviti, kako podrobno in s kakšnimi besedami so prejemniki obvestili M. Rijkeboerja. Pri tem pregledu je treba podrobno preveriti rok, če istovetnost tretje stranke ni bila sporočena, kajti posameznik, na katerega se nanašajo podatki, se lahko upravičeno boji, da obdelava podatkov ni bila v skladu z načeli iz člena 6.
68. Nazadnje bi bilo treba določiti nekaj pravil v zvezi z dokaznim bremenom. M. Rijkeboer je kot nosilec temeljne pravice moral uporabiti pravno sredstvo, da bi izvedel, kako so bili obdelani podatki, ki se nanj nanašajo.(51) Skladnost z Direktivo 95/46 je odvisna od vrste okoliščin posameznega primera, ki izhajajo iz nacionalnega zakona in praks lokalne uprave. M. Rijkeboer mora za uveljavitev svoje temeljne pravice nujno sprožiti sodni postopek, vendar njegova naloga ne bi smela biti dokazati pomanjkljivosti pravnega reda svoje države na tem področju, kajti besedilo Direktive 95/46 navaja k mnenju, da ima v skladu s tem, kar sem navedel v točkah od 29 do 35 teh sklepnih predlogov, pravica do dostopa prednost in da je treba vsako izjemo zelo previdno preučiti. Torej mora upravljavec glede na primarnost subjektivne razsežnosti predpisov Skupnosti o varstvu podatkov dokazati, da pravni okvir in prakse pri obdelavi podatkov dajejo jamstva, ki upravičujejo tako kratek rok, kot je eno leto, za uresničevanje pravice iz člena 12 Direktive 95/46.
69. College je v pisnih stališčih, predloženih v tem postopku predhodnega odločanja, navedel nekaj dejstev o tej temi. Nacionalna zakonodaja uvaja sistem zavor in protiuteži (College uporablja izraz „checks and balances“), ki usklajuje pravico do dostopa, tako da predvideva določena jamstva, kot so omejitve za prejemnike, v posebnih primerih povezava s posameznimi cilji, predhodna odobritev zainteresirane osebe ali mehanizem nadzora, za kateri skrbi neodvisen organ. V skladu z navedbami College se zadevno osebo še obvesti o enoletnem roku, in to posamično in skupinsko (na svetovnem spletu in v sporočilih za prebivalce).(52)
70. Zavedam se mogočih posledic te zadeve za upravljavce zbirk podatkov iz Direktive 95/46. Vendar želim zaradi primarnosti varstva posameznika uskladiti obrambo njegovih pravic z učinkovitim upravljanjem zbirk podatkov. Zato bi bilo treba člena 6 in 12 Direktive 95/46 razlagati tako, da enoletni rok, določen za uresničevanje pravice do dostopa do podatkov o obdelavi, z njima ni združljiv, če:
– zadevna oseba ni bila obveščena o posredovanju podatkov, ali
– je bila zadevna oseba obveščena o posredovanju podatkov, ne pa o dolžini roka, ali
– je bila zadevna oseba obveščena o posredovanju podatkov, ni pa bila dovolj obveščena o istovetnosti prejemnikov.
71. Ker gre za temeljno pravico, mora College dokazati, da nacionalni predpisi in upravna praksa zagotavljajo ustrezno raven obveščenosti zadevne osebe, tako da lahko uresniči svojo pravico do dostopa brez omejitev.
72. Raad van State mora z vidika predstavljenih meril ter pravnih in dejanskih okoliščin, navedenih v tem postopku predhodnega odločanja in v sporu o glavni stvari, uporabiti člena 6 in 12 Direktive 95/46 v skladu s tem, kar sem navedel v točkah 70 in 71 teh sklepnih predlogov.
X – Predlog
73. Glede na zgornje ugotovitve predlagam Sodišču, naj na vprašanje za predhodno odločanje Raad van State odgovori:
Informacije o obdelavi podatkov, vključno z informacijami, ki se nanašajo na prenos podatkov tretjim strankam, so osebni podatki v smislu člena 2(a) Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov. Za zagotavljanje polnega učinka Direktive 95/46 je rok za izbris podatkov o obdelavi podatkov enak kot rok za izbris osebnih podatkov, kar ne posega v pravice in obveznosti, ki jih ta direktiva nalaga tretjim strankam, prejemnikom teh podatkov.
Člena 6 in 12 Direktive 95/46 nasprotujeta enoletnemu roku za uresničevanje pravice do dostopa do obdelave, če:
– zadevna oseba ni bila obveščena o posredovanju podatkov, ali
– je bila zadevna oseba obveščena o posredovanju podatkov, ne pa o dolžini roka, ali
– je bila zadevna oseba obveščena o posredovanju podatkov, ni pa bila dovolj obveščena o istovetnosti prejemnikov.
Upravljavec mora dokazati, da nacionalni predpisi in upravna praksa zagotavljajo ustrezno raven obveščenosti zadevne osebe, tako da lahko brez omejitev uresniči svojo pravico do dostopa.