Language of document : ECLI:EU:C:2017:994

WYROK TRYBUNAŁU (druga izba)

z dnia 20 grudnia 2017 r.(*)

Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46/WE – Artykuł 2 lit. a) – Pojęcie „danych osobowych” – Pisemne odpowiedzi udzielone przez osobę przystępującą do egzaminu zawodowego – Naniesione przez egzaminatora komentarze odnoszące się do tych odpowiedzi – Artykuł 12 lit. a) i b) – Zakres prawa dostępu i sprostowania przysługującego osobie, której dane dotyczą

W sprawie C‑434/16

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Supreme Court (sąd najwyższy, Irlandia) postanowieniem z dnia 29 lipca 2016 r., które wpłynęło do Trybunału w dniu 4 sierpnia 2016 r., w postępowaniu:

Peter Nowak

przeciwko

Data Protection Commissioner,

TRYBUNAŁ (druga izba),

w składzie: M. Ilešič (sprawozdawca), prezes izby, A. Rosas, C. Toader, A. Prechal i E. Jarašiūnas, sędziowie,

rzecznik generalny: J. Kokott,

sekretarz: M. Aleksejev, administrator,

uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 22 czerwca 2017 r.,

rozważywszy uwagi przedstawione:

–        w imieniu P. Nowaka przez G. Ruddena, solicitor, oraz N. Traversa, SC,

–        w imieniu Data Protection Commissioner przez D. Younga, solicitor, oraz P.A. McDermotta, SC,

–        w imieniu Irlandii przez E. Creedon, L. Williams oraz A. Joyce’a, działających w charakterze pełnomocników, wspieranych przez A. Caroll, barrister,

–        w imieniu rządu czeskiego przez M. Smolka oraz J. Vláčila, działających w charakterze pełnomocników,

–        w imieniu rządu greckiego przez G. Papadaki oraz S. Charitaki, działające w charakterze pełnomocników,

–        w imieniu rządu węgierskiego przez M.Z. Fehéra oraz A. Pálfy, działających w charakterze pełnomocników,

–        w imieniu rządu austriackiego przez G. Eberharda, działającego w charakterze pełnomocnika,

–        w imieniu rządu polskiego przez B. Majczynę, działającego w charakterze pełnomocnika,

–        w imieniu rządu portugalskiego przez L. Ineza Fernandesa, M. Figueireda oraz I. Oliveirę, działających w charakterze pełnomocników,

–        w imieniu Komisji Europejskiej przez D. Nardiego oraz H. Kranenborga, działających w charakterze pełnomocników,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 20 lipca 2017 r.,

wydaje następujący

Wyrok

1        Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31 – wyd. spec. w jęz. polskim, rozdz. 13, t. 15, s. 355).

2        Wniosek ten został przedstawiony w ramach sporu, jaki zaistniał pomiędzy Peterem Nowakiem a Data Protection Commissioner (komisarzem ds. ochrony danych, Irlandia) w przedmiocie udzielonej P. Nowakowi odmowy udzielenia dostępu do ocenionego arkusza egzaminu, do którego przystąpił P. Nowak, a to ze względu na to, że zawarte w nim informacje nie stanowią danych osobowych.

 Ramy prawne

 Prawo Unii

 Dyrektywa 95/46

3        Dyrektywa 95/46, która zgodnie ze swym art. 1 ma na celu ochronę podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do prywatności w zakresie przetwarzania danych osobowych, jak również usuwanie przeszkód w swobodnym przepływie tych danych, stanowi w motywach 25, 26 i 41, co następuje:

„(25)      [z]asady ochrony muszą znajdować odzwierciedlenie, z jednej strony w obowiązkach nałożonych na osoby […] odpowiedzialne za przetwarzanie danych, zwłaszcza w zakresie jakości danych, bezpieczeństwa technicznego, zawiadamiania organu nadzorczego oraz okoliczności, w których może odbywać się przetwarzanie danych, jak również, z drugiej strony, w prawie osób, których dane są przedmiotem przetwarzania, do uzyskania informacji, że takie przetwarzanie danych ma miejsce, do konsultowania danych, żądania poprawek lub nawet sprzeciwu wobec przetwarzania danych w niektórych przypadkach.

(26)      Zasady ochrony danych muszą odnosić się do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób; w celu ustalenia, czy daną osobę można zidentyfikować, należy wziąć pod uwagę wszystkie sposoby, jakimi może [racjonalnie rzecz biorąc] posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby; zasady ochrony danych nie mają zastosowania do danych, którym nadano anonimowy charakter w taki sposób, że podmiot danych nie będzie mógł być zidentyfikowany […].

[…]

(41)      Każda osoba musi mieć możliwość skorzystania z prawa dostępu do dotyczących jej danych, które poddane są przetwarzaniu, w celu zweryfikowania zwłaszcza prawidłowości danych oraz legalności ich przetwarzania […]”.

4        Zgodnie z art. 2 lit. a) tej dyrektywy pojęcie „danych osobowych” oznacza „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (»osoby, której dane dotyczą«); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość”.

5        Artykuł 6 znajduje się w sekcji I, zatytułowanej „Zasady dotyczące jakości danych”, która to sekcja znajduje się w rozdziale II tej dyrektywy; przepis ten brzmi następująco:

„1.      Państwa członkowskie zapewniają, aby dane osobowe były:

a)      przetwarzane rzetelnie i legalnie;

b)      gromadzone do określonych, jednoznacznych i legalnych [uzasadnionych] celów oraz nie były poddawane dalszemu przetwarzaniu w sposób niezgodny z tym celem [z tymi celami]. Dalsze przetwarzanie danych w celach historycznych, statystycznych lub naukowych nie jest uważane za niezgodne z przepisami pod warunkiem ustanowienia przez państwa członkowskie odpowiednich środków zabezpieczających;

c)      prawidłowe, stosowne oraz nienadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetworzone;

d)      prawidłowe oraz, w razie konieczności, aktualizowane; należy podjąć wszelkie uzasadnione działania, aby zapewnić usunięcie lub poprawienie nieprawidłowych lub niekompletnych danych, biorąc pod uwagę cele, dla których zostały zgromadzone lub dla których są dalej przetwarzane;

e)      przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez czas nie dłuższy niż jest to konieczne do celów, dla których dane zostały zgromadzone lub dla których są dalej przetwarzane. Państwa członkowskie ustanowią odpowiednie środki zabezpieczające dla danych przechowywanych przez dłuższe okresy dla potrzeb historycznych, statystycznych i naukowych.

2.      Na administratorze danych spoczywa obowiązek zapewnienia przestrzegania przepisów ust. 1”.

6        Artykuł 7 dyrektywy 95/46, znajdujący się w jej sekcji II, zatytułowanej „Kryteria legalności przetwarzania danych” i należącej do rozdziału II tej dyrektywy, stanowi:

„Państwa członkowskie zapewniają, że dane osobowe mogą [aby dane osobowe mogły] być przetwarzane tylko wówczas, gdy:

a)      osoba, której dane dotyczą, jednoznacznie wyraziła na to zgodę;

lub

[…]

c)      przetwarzanie danych jest konieczne dla wykonania zobowiązania prawnego, któremu administrator danych podlega;

lub

[…]

e)      przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym lub dla wykonywania władzy publicznej przekazanej administratorowi danych lub osobie trzeciej, przed którą ujawnia się dane [której dane są ujawniane];

lub

f)      przetwarzanie danych jest konieczne dla [realizacji] potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom [lub osób trzecich], którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1 [z wyjątkiem sytuacji, kiedy pierwszeństwo mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony zgodnie z art. 1 ust. 1]”.

7        Artykuł 12 wspomnianej dyrektywy, zatytułowany „Prawo dostępu do danych”, stanowi:

„Państwa członkowskie zapewniają każdej osobie, której dane dotyczą, prawo do uzyskania od administratora danych:

a)      bez ograniczeń, w odpowiednich odstępach czasu oraz bez nadmiernego opóźnienia lub kosztów:

–        potwierdzenia, czy dotyczące jej dane są przetwarzane oraz co najmniej informacji o celach przetwarzania danych, kategoriach danych oraz odbiorcach lub kategoriach odbiorców, którym dane te są ujawniane,

–        wyrażonej w zrozumiałej formie informacji o danych przechodzących przetwarzanie oraz posiadanych informacji o ich źródłach,

[…]

b)      odpowiednio do przypadku, sprostowania, usunięcia lub zablokowania danych, których przetwarzanie jest niezgodne z przepisami niniejszej dyrektywy, szczególnie ze względu na niekompletność lub niedokładność danych;

c)      zawiadomienia osób trzecich, którym dane zostały ujawnione, o ewentualnym sprostowaniu, usunięciu lub zablokowaniu danych zgodnie z lit. b), o ile nie okaże się to niemożliwe lub nie będzie wymagało niewspółmiernie dużego wysiłku”.

8        Artykuł 13 omawianej dyrektywy, zatytułowany „Zwolnienia i ograniczenia”, stanowi:

„1.      Państwo członkowskie może przyjąć środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków, przewidzianego w art. 6 ust. 1, art. 10, art. 11 ust. 1, art. 12 oraz 21, kiedy ograniczenie takie stanowi środek konieczny dla zabezpieczenia:

[…]

g)      ochrony osoby, której dane dotyczą oraz praw i wolności innych osób.

[…]”.

9        Artykuł 14 dyrektywy 95/46, zatytułowany „Prawo sprzeciwu przysługujące osobie, której dane dotyczą”, stanowi:

„Państwa członkowskie przyznają osobie, której dane dotyczą, prawo:

a)      przynajmniej w przypadkach wymienionych w art. 7 lit. e) i f), w dowolnym czasie z ważnych i uzasadnionych przyczyn wynikających z jego [jej] konkretnej sytuacji, sprzeciwu co do przetwarzania dotyczących jej danych, z zastrzeżeniem odmiennych postanowień ustawodawstwa krajowego. W przypadku uzasadnionego sprzeciwu przetwarzanie danych przez administratora danych nie może już obejmować tych danych;

[…]”.

10      Artykuł 28 tej dyrektywy, zatytułowany „Organ nadzorczy”, stanowi:

„1.      Każde państwo członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialny[…] za kontrolę stosowania na jego terytorium przepisów przyjętych przez państwa członkowskie na mocy niniejszej dyrektywy.

[…]

3.      Każdy organ jest w szczególności wyposażony w:

–        uprawienia dochodzeniowe, jak np. prawo dostępu do danych stanowiących przedmiot operacji przetwarzania danych oraz prawo gromadzenia wszelkich informacji potrzebnych do wykonywania jego funkcji nadzorczych,

–        skuteczne uprawnienia interwencyjne, jak np. prawo do […] zarządzania blokady, usunięcia lub zniszczenia danych, nakładania czasowego lub ostatecznego zakazu przetwarzania danych […];

[…]

Od decyzji organu nadzorczego, co do którego zgłaszane są zastrzeżenia [Od niekorzystnej decyzji organu nadzorczego], przysługuje odwołanie do właściwego sądu.

4.      Każdy organ nadzorczy rozpatruje skargi zgłaszane przez dowolną osobę lub przez stowarzyszenie ją reprezentujące, odnośnie do ochrony jej praw i wolności w zakresie przetwarzania danych osobowych. Zainteresowana osoba zostanie poinformowana o wyniku sprawy [biegu nadanym jej skardze].

[…]”.

 Rozporządzenie (UE) 2016/679

11      Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1) ma zastosowanie, zgodnie z jego art. 99 ust. 2, począwszy od dnia 25 maja 2018 r. Artykuł 94 ust. 1 tego rozporządzenia stanowi, że dyrektywa 95/46 zostaje uchylona ze skutkiem od tego samego dnia.

12      Zgodnie z art. 15 tego rozporządzenia, zatytułowanym „Prawo dostępu przysługujące osobie, której dane dotyczą”:

„1.      Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich […]

[…]

3.      Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu […].

4.      Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych”.

13      Artykuł 23 rozporządzenia 2016/679, zatytułowany „Ograniczenia”, stanowi:

„1.      Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 […] – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

[…]

e)      innym ważnym celom leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu Unii lub państwa członkowskiego, w tym kwestiom pieniężnym, budżetowym i podatkowym, zdrowiu publicznemu i zabezpieczeniu społecznemu;

[…]

i)      ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;

[…]”.

 Ustawodawstwo irlandzkie

14      Data Protection Act 1988 (irlandzka ustawa z 1988 r. o ochronie danych), zmieniona Data Protection (Amendment) Act 2003 (ustawą z 2003 r. o ochronie danych) (zwana dalej „ustawą o ochronie danych”), ma na celu transpozycję dyrektywy 95/46 do irlandzkiego porządku prawnego. W art. 1 ust. 1 tej ustawy pojęcie „danych osobowych” zostało zdefiniowane następująco:

„Dane dotyczące żyjącej osoby fizycznej, która jest lub może zostać zidentyfikowana na podstawie tych danych lub na podstawie danych w powiązaniu z innymi informacjami, które są lub mogą się znaleźć w posiadaniu administratora danych”.

15      Prawo dostępu do tych danych zostało uregulowane w art. 4 ustawy o ochronie danych, której ust. 6, dotyczący w szczególności wniosków o dostęp do wyników egzaminów, brzmi następująco:

„a)      wniosek osoby fizycznej na podstawie podsekcji 1 niniejszej sekcji, w odniesieniu do wyników egzaminów, do których osoba ta przystępowała, uważa się dla potrzeb niniejszej sekcji za złożony:

(i)      w dniu pierwszego ogłoszenia wyników egzaminu lub

(ii)      w dniu złożenia wniosku,

w zależności od tego, która z tych dat jest późniejsza […];

b)      na podstawie niniejszego ustępu przez »egzamin« należy rozumieć każdy proces, w drodze którego dokonuje się oceny wiedzy, inteligencji, umiejętności lub zdolności danej osoby poprzez odniesienie do osiągniętych przez nią wyników jakiegokolwiek testu, pracy lub innego rodzaju zajęcia”.

16      W art. 6 tej ustawy ustanowione zostało prawo do sprostowania lub usunięcia danych osobowych, których przetwarzanie nie odbyło się w sposób zgodny z tą ustawą.

17      Zgodnie z sekcją 10 ust. 1 lit. b) ppkt (i) ustawy o ochronie danych osobowych komisarz ds. ochrony danych zobowiązany jest rozpatrzyć skargę, „chyba że uzna ją za niepoważną lub złożoną w złej wierze”.

 Postępowanie główne i pytania prejudycjalne

18      Peter Nowak był księgowym stażystą, który przystąpił do egzaminów z rachunkowości pierwszego stopnia oraz trzech egzaminów drugiego stopnia przeprowadzanych przez Institute of Chartered Accountants of Ireland (instytut biegłych rewidentów Irlandii, zwany dalej „CAI”) i zdał te egzaminy. Nie zdał on jednak egzaminu z „finansów strategicznych i rachunkowości zarządczej”, w ramach którego można było korzystać z własnych materiałów referencyjnych („open book exam”).

19      Po tym, jak po raz czwarty nie zdał on tego egzaminu, jesienią 2009 r., P. Nowak zaskarżył najpierw jego wynik. W marcu 2010 r. jego skarga została oddalona i w maju 2010 r. postanowił on złożyć, na podstawie art. 4 ustawy o ochronie danych osobowych, wniosek o udostępnienie wszystkich dotyczących go danych osobowych pozostających w posiadaniu CAI.

20      Pismem z dnia 1 czerwca 2010 r. CAI przekazał do wiadomości P. Nowaka 17 dokumentów, lecz odmówił udostępnienia jego arkusza egzaminacyjnego, uzasadniając to w ten sposób, że praca egzaminacyjna nie zawiera „danych osobowych” w rozumieniu ustawy o ochronie danych.

21      Peter Nowak zwrócił się zatem do komisarza ds. ochrony danych celem zakwestionowania zasadności odmowy przekazania mu do wiadomości jego arkusza egzaminacyjnego. W czerwcu 2010 r. komisarz przesłał pocztą elektroniczną wiadomość, w której między innymi informował P. Nowaka, że „arkusze egzaminacyjne nie są zasadniczo brane pod uwagę [do celów ochrony danych] […] ze względu na to, że tego rodzaju materiał nie stanowi na ogół danych osobowych”.

22      Po otrzymaniu tej odpowiedzi P. Nowak kontynuował korespondencję z komisarzem ds. ochrony danych, zakończoną złożeniem przez niego formalnej skargi w dniu 1 lipca 2010 r.

23      W przesłanej pocztą elektroniczną wiadomości z dnia 21 lipca 2010 r. komisarz ds. ochrony danych poinformował P. Nowaka, że po zbadaniu akt sprawy nie dopatrzył się naruszeń ustawy o ochronie danych i że, zgodnie z art. 10 ust. 1 lit. b) ppkt (i) tej ustawy, odnoszącym się do skarg niepoważnych lub złożonych w złej wierze, postanowił umorzyć postępowanie w jej sprawie. W wiadomości tej była ponadto mowa o tym, że materiał, wobec którego P. Nowak chciał wykonać „prawo do poprawienia”, „nie stanowi danych osobowych, do których ma zastosowanie art. 6 ustawy o ochronie danych osobowych”.

24      Peter Nowak zaskarżył tę decyzję do Circuit Court (sądu okręgowego, Irlandia). Sąd ów uznał tę skargę za niedopuszczalną ze względu na to, że ponieważ komisarz ds. ochrony danych nie przeprowadził postępowania co do istoty sprawy, brak jest decyzji mogącej podlegać zaskarżeniu. Tytułem uzupełnienia sąd ten rozstrzygnął, że skarga i tak jest bezzasadna ze względu na to, iż arkusz egzaminacyjny nie stanowi danych osobowych.

25      Peter Nowak zaskarżył to rozstrzygnięcie przed High Court (sądem wyższej instancji, Irlandia), który utrzymał je w mocy. Wydany przez High Court wyrok został zaś potwierdzony przez Court of Appeal (sąd apelacyjny, Irlandia). Supreme Court (sąd najwyższy, Irlandia), który wyraził zgodę na wniesienie przez stronę skarżącą odwołania od wyroku Court of Appeal (sądu apelacyjnego), uznał wniesioną przez P. Nowaka przeciwko decyzji komisarza ds. ochrony danych skargę za dopuszczalną.

26      Niemniej jednak, ze względu na wątpliwości dotyczące tego, czy arkusz egzaminacyjny może stanowić dane osobowe w rozumieniu dyrektywy 95/46, Supreme Court (sąd najwyższy) postanowił zawiesić postępowanie i zwrócić się do Trybunału Sprawiedliwości z następującymi pytaniami prejudycjalnymi:

„1)      Czy informacje zapisane przez osobę przystępującą do egzaminu zawodowego w odpowiedziach lub jako odpowiedzi na arkuszu egzaminacyjnym mogą stanowić dane osobowe w rozumieniu dyrektywy 95/46?

2)      Jeżeli odpowiedź na pytanie pierwsze brzmi, że wszystkie informacje lub niektóre z nich mogą stanowić dane osobowe w rozumieniu dyrektywy 95/46, jakie czynniki są istotne dla określenia, czy w danym przypadku taki arkusz egzaminacyjny stanowi dane osobowe, i jakie znaczenie należy przypisać tym czynnikom?”.

 W przedmiocie pytań prejudycjalnych

27      Zadając swe pytania, które należy przeanalizować łącznie, sąd odsyłający zastanawia się w istocie, czy art. 2 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że w okolicznościach takich jak te rozpatrywane w postępowaniu głównym pisemne odpowiedzi udzielone przez osobę przystępującą do egzaminu zawodowego i ewentualne naniesione przez egzaminatora komentarze odnoszące się do tych odpowiedzi stanowią dane osobowe w rozumieniu tego przepisu.

28      W powyższym względzie należy przypomnieć, że art. 2 lit. a) dyrektywy 95/46 definiuje dane osobowe jako „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Zgodnie z tym samym przepisem „osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość”.

29      Nie ulega wątpliwości, że przystępujący do egzaminu zawodowego jest osobą fizyczną, która może zostać zidentyfikowana bądź bezpośrednio, poprzez jej nazwisko, bądź pośrednio, dzięki numerowi identyfikacyjnemu, które to nazwisko i numer są umieszczone na arkuszu egzaminacyjnym lub jego okładce.

30      Wbrew temu, co zdaje się podnosić komisarz ds. ochrony danych, bez znaczenia w tym kontekście jest kwestia tego, czy egzaminator może zidentyfikować osobę przystępującą do egzaminu w momencie sprawdzania i dokonywania oceny jej arkusza egzaminacyjnego.

31      Do tego, aby dane mogły zostać uznane za „osobowe” w rozumieniu art. 2 lit. a) dyrektywy 95/46, nie jest bowiem wymagane, aby wszystkie informacje umożliwiające identyfikację danej osoby znajdowały się w rękach tylko jednego podmiotu (wyrok z dnia 19 października 2016 r., Breyer, C‑582/14, EU:C:2016:779, pkt 43). Nie ulega ponadto wątpliwości, że w przypadku gdy egzaminator, dokonując w ramach egzaminu oceny odpowiedzi udzielonych przez tę przystępującą do niego osobę, nie zna tożsamości tej osoby, podmiot organizujący egzamin, w tym przypadku CAI, dysponuje informacjami umożliwiającymi mu zidentyfikowanie, bez problemów i wątpliwości, osoby przystępującej do egzaminu dzięki jej numerowi identyfikacyjnemu, umieszczonemu na arkuszu egzaminacyjnym lub jego okładce, i przypisanie jej udzielonych odpowiedzi.

32      Należy jednak sprawdzić, czy pisemne odpowiedzi udzielone przez osobę przystępującą do egzaminu zawodowego i ewentualne naniesione przez egzaminatora komentarze odnoszące się do tych odpowiedzi stanowią informacje dotyczące tej osoby w rozumieniu art. 2 lit. a) dyrektywy 95/46.

33      Jak orzekł już Trybunał, zakres zastosowania dyrektywy 95/46 jest bardzo szeroki i dane osobowe, których ta dyrektywa dotyczy, są różnego rodzaju (wyrok z dnia 7 maja 2009 r., Rijkeboer, C‑553/07, EU:C:2009:293, pkt 59 i przytoczone tam orzecznictwo).

34      Użycie w zawartej w art. 2 lit. a) dyrektywy 95/46 definicji „danych osobowych” wyrażenia „wszelkie informacje” odzwierciedla bowiem przyświecający unijnemu prawodawcy zamiar przypisania temu pojęciu szerokiego zakresu, nie ograniczając go do informacji wrażliwych czy też prywatnych, lecz rozszerzając go potencjalnie o informacje wszelkiego rodzaju, zarówno obiektywne, jak i subiektywne, w postaci opinii czy oceny, a jedynym warunkiem, które muszą one spełniać, jest to, aby „dotyczyły” danej osoby.

35      Warunek ten jest zaś spełniony, gdy ze względu na swą treść, cel czy skutek dana informacja jest powiązana z daną osobą.

36      Jak zaś podnoszą w istocie P. Nowak, rządy czeski, grecki, węgierski, austriacki, portugalski i Komisja Europejska, pisemne odpowiedzi udzielone przez osobę przystępującą do egzaminu zawodowego stanowią takie informacje powiązane z osobą.

37      Treść tych odpowiedzi przede wszystkim bowiem odzwierciedla poziom wiedzy i umiejętności osoby przystępującej do egzaminu w danej dziedzinie i, w odpowiednim przypadku, sposób jej rozumowania, wnioskowania i przyjęte przez nią krytyczne podejście. W przypadku egzaminu pisanego odręcznie odpowiedzi te zawierają poza tym informacje odnoszące się do charakteru pisma.

38      Następnie, odpowiedzi te są zbierane w celu dokonania oceny kwalifikacji zawodowych osoby egzaminowanej i jej zdolności do wykonywania danego zawodu.

39      Wreszcie, wykorzystanie tych informacji, wskutek którego dana osoba może w szczególności zdać egzamin, do którego przystępuje, bądź go nie zdać, może mieć wpływ na prawa i interesy tej osoby, ze względu na to, że wykorzystanie to może warunkować przykładowo szanse owej osoby na wykonywanie danego zawodu bądź zatrudnienie na danym stanowisku.

40      Stwierdzenie, że pisemne odpowiedzi udzielone przez osobę przystępującą do egzaminu zawodowego stanowią informacje jej dotyczące ze względu na ich treść, cel czy skutek, znajduje również zastosowanie w sytuacji, która dotyczy, tak jak w niniejszym przypadku, egzaminu, na którym można korzystać z własnych materiałów referencyjnych („open book exam”).

41      Jak wskazała bowiem rzecznik generalna w pkt 24 opinii, w każdym przypadku egzamin ma na celu stwierdzenie i udokumentowanie zdolności określonej osoby, to jest osoby do niego przystępującej, nie ma zaś na celu – w odróżnieniu na przykład od reprezentatywnego sondażu – uzyskiwania informacji niezależnych od tej osoby.

42      W odniesieniu do naniesionych przez egzaminatora komentarzy dotyczących tych odpowiedzi należy stwierdzić, że stanowią one, tak jak udzielone na egzaminie przez przystępującą do niego osobę odpowiedzi, informacje dotyczące tej właśnie osoby.

43      Treść tych komentarzy odzwierciedla bowiem wyrażoną przez egzaminatora opinię czy ocenę indywidualnych osiągnięć danej osoby na tym egzaminie, a w szczególności poziomu jej wiedzy i umiejętności w danej dziedzinie. Komentarze te mają zresztą na celu właśnie udokumentowanie dokonanej przez egzaminatora oceny wyników osiągniętych przez osobę przystępującą do egzaminu i mogą, jak zostało to wskazane w pkt 39 niniejszego wyroku, pociągnąć za sobą pewne skutki dla tej osoby.

44      To, że naniesione przez egzaminatora komentarze odnoszące się do odpowiedzi udzielonych na egzaminie przez osobę do niego przystępującą są również informacjami dotyczącymi egzaminatora, nie stoi na przeszkodzie temu, aby móc uznać, że te komentarze, ze względu na ich treść, cel czy skutek, są powiązane z egzaminowaną osobą.

45      Ta sama informacja może bowiem dotyczyć więcej niż jednej osoby fizycznej i stanowić w odniesieniu do tych osób dane osobowe w rozumieniu art. 2 lit. a) dyrektywy 95/46, pod warunkiem że osoby te zostały zidentyfikowane lub są możliwe do zidentyfikowania.

46      Ponadto, wbrew temu, co twierdzą komisarz ds. ochrony danych i Irlandia, dla tego, czy pisemne odpowiedzi udzielone przez osobę przystępującą do egzaminu zawodowego i naniesione przez egzaminatora komentarze odnoszące się do tych odpowiedzi mogą zostać uznane za dane osobowe, bez znaczenia jest to, że taka kwalifikacja daje tej osobie co do zasady możliwość powoływania się, w myśl art. 12 lit. a) i b) dyrektywy 95/46, na prawo dostępu do tych danych i do ich sprostowania.

47      W tym względzie należy przede wszystkim przypomnieć, jak uczyniła to na rozprawie Komisja, że szereg przewidzianych w dyrektywie 95/46 zasad i gwarancji wiąże się z tą kwalifikacją i jest uzależnionych od jej dokonania.

48      Z motywu 25 dyrektywy 95/46 wynika bowiem, że zasady tej ochrony muszą znajdować odzwierciedlenie, z jednej strony, w obowiązkach nałożonych na podmioty przetwarzające dane, zwłaszcza w zakresie dotyczącym jakości tych danych, bezpieczeństwa technicznego, zawiadamiania organu nadzorczego oraz okoliczności, w których może odbywać się przetwarzanie danych, jak również, z drugiej strony, w prawach osób, których dane są przedmiotem przetwarzania, do uzyskania informacji, że takie przetwarzanie danych ma miejsce, do konsultowania danych, żądania poprawek lub nawet, w niektórych przypadkach, sprzeciwu wobec przetwarzania danych.

49      Tak więc niezakwalifikowanie jako „danych osobowych” informacji dotyczących osoby przystępującej do egzaminu zawodowego zawartych w odpowiedziach udzielonych przez tę osobę oraz w naniesionych przez egzaminatora komentarzach odnoszących się do tych odpowiedzi skutkowałoby całkowitym wyłączeniem w odniesieniu do tych informacji zasad i gwarancji mających zastosowanie w dziedzinie ochrony danych osobowych, a w szczególności określonych w art. 6 i 7 dyrektywy 95/46 zasad dotyczących jakości tych danych i legalności ich przetwarzania, a także określonych w art. 12 i 14 tej dyrektywy praw do dostępu, sprostowania i zgłoszenia sprzeciwu osoby, której dane te dotyczą, jak również prawa do objęcia kontrolą sprawowaną przez organ nadzorczy zgodnie z art. 28 tej dyrektywy.

50      Jak zaś podniosła rzecznik generalna w pkt 26 opinii, osobie przystępującej do egzaminu przysługuje niewątpliwie, w szczególności ze względu na ochronę jej życia prywatnego, interes prawny w tym, by móc zgłosić sprzeciw wobec przetwarzania poza procedurą egzaminacyjną udzielonych przez nią odpowiedzi i odnoszących się do nich komentarzy egzaminatora, a zwłaszcza wobec przekazywania ich bez jej zgody osobom trzecim, czy wręcz ich publikacji. Podobnie, podmiot organizujący egzamin jest jako administrator danych zobowiązany do zapewnienia, że odpowiedzi te i odnoszące się do nich komentarze są przechowywane w taki sposób, aby nie mogły one zostać bezprawnie udostępnione osobom trzecim.

51      Następnie należy stwierdzić, że przewidziane w art. 12 lit. a) i b) dyrektywy 95/46 prawa dostępu do danych i do ich sprostowania mogą być również uzasadnione w odniesieniu do pisemnych odpowiedzi udzielanych przez osobę przystępującą do egzaminu zawodowego oraz ewentualnych komentarzy egzaminatora odnoszących się do tych odpowiedzi.

52      Niewątpliwie w ramach przewidzianego w art. 12 lit. b) dyrektywy 95/46 prawa do sprostowania osoba przystępująca do egzaminu ewidentnie nie ma możliwości „sprostowania” a posteriori „błędnych” odpowiedzi.

53      Z art. 6 ust. 1 lit. d) dyrektywy 95/46 wynika bowiem, że prawidłowość i kompletność danych osobowych należy oceniać w kontekście celu, w którym dane te są gromadzone. W przypadku odpowiedzi udzielanych przez osobę przystępującą do egzaminu cel ten polega na umożliwieniu dokonania oceny poziomu wiedzy i umiejętności tej osoby w dniu egzaminu. Poziom ten znajduje zaś odzwierciedlenie właśnie w błędach, jakie mogą zostać popełnione przez udzielaniu tych odpowiedzi. Tego rodzaju błędy nie mogą więc w żaden sposób stanowić nieprawidłowości w rozumieniu dyrektywy 95/46, przewidującej w swym art. 12 lit. b) prawo do sprostowania.

54      Mogą natomiast wystąpić sytuacje, w których odpowiedzi udzielone przez osobę przystępującą do egzaminu i komentarze egzaminatora odnoszące się do tych odpowiedzi okażą się nieprawidłowe w rozumieniu art. 6 ust. 1 lit. d) dyrektywy 95/46, na przykład ze względu na fakt, że przez pomyłkę arkusze egzaminacyjne zostały zamienione w taki sposób, iż danej osobie przydzielone zostały odpowiedzi innego egzaminowanego, lub że część kartek zawierających odpowiedzi tej osoby została zgubiona, efektem czego odpowiedzi te są niekompletne, bądź też że ewentualne komentarze egzaminatora nie dokumentują właściwie dokonanej przezeń oceny odpowiedzi udzielonych przez daną osobę.

55      Jak zresztą podniosła rzecznik generalna w pkt 37 opinii, nie można wykluczyć, żeby osobie przystępującej do egzaminu przysługiwało, na mocy art. 12 lit. b) dyrektywy 95/46, prawo do domagania się od administratora danych, aby udzielone przez nią na egzaminie odpowiedzi i odnoszące się do nich komentarze zostały po pewnym czasie usunięte, czyli żeby zawierający je arkusz został zniszczony. Zgodnie z art. 6 ust. 1 lit. e) tej dyrektywy dane osobowe mogą bowiem co do zasady być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez czas nie dłuższy niż jest to konieczne do celów, dla których dane zostały zgromadzone lub dla których są dalej przetwarzane. Biorąc zaś pod uwagę cel, w jakim osoba przystępująca do egzaminu udziela odpowiedzi oraz w jakim egzaminator nanosi odnoszące się do nich komentarze, przechowywanie tych danych w postaci umożliwiającej identyfikację tej osoby po ostatecznym zakończeniu procedury egzaminacyjnej wydaje się już zbędne i nie może już zostać zaskarżone, skutkiem czego odpowiedzi te i odnoszące się do nich komentarze tracą moc dowodową.

56      W zakresie, w jakim pisemne odpowiedzi udzielone przez osobę przystępującą do egzaminu zawodowego i naniesione przez egzaminatora komentarze odnoszące się do tych odpowiedzi mogą zostać poddane weryfikacji, w szczególności pod kątem ich prawidłowości i potrzeby ich przechowywania w rozumieniu art. 6 ust. 1 lit. d) i e) dyrektywy 95/46, i mogą zostać sprostowane lub usunięte na podstawie art. 12 lit. b) tej dyrektywy, należy stwierdzić, że udzielenie osobie przystępującej do egzaminu prawa do dostępu do tych odpowiedzi i tych komentarzy na mocy art. 12 lit. a) tej dyrektywy służy realizacji przewidzianego w niej celu polegającego na zagwarantowaniu ochrony prawa do życia prywatnego egzaminowanego w zakresie przetwarzania dotyczących go danych (zob. a contrario wyrok z dnia 17 lipca 2014 r., YS i in., C‑141/12 i C‑372/12, EU:C:2014:2081, pkt 45, 46), i to niezależnie od tego, czy osobie przystępującej do egzaminu takie prawo dostępu przysługuje również na podstawie mających zastosowanie do procedury egzaminacyjnej przepisów krajowych.

57      W tym kontekście należy przypomnieć, że ochrona podstawowego prawa do poszanowania życia prywatnego wiąże się między innymi z tym, aby każda osoba fizyczna mogła upewnić się, iż dotyczące jej dane osobowe są prawidłowe i przetwarzane zgodnie z prawem. Jak wynika z motywu 41 dyrektywy 95/46, aby móc dokonać koniecznych weryfikacji, osobie, której dane dotyczą, przysługuje zgodnie z art. 12 lit. a) tej dyrektywy prawo dostępu do dotyczących jej danych, które są poddane przetwarzaniu. To prawo dostępu jest niezbędne między innymi po to, aby umożliwić osobie, której dotyczą dane, uzyskanie w razie potrzeby od administratora danych ich sprostowania, usunięcia lub zablokowania, a tym samym – wykonanie prawa określonego w art. 12 lit. b) tej dyrektywy (wyrok z dnia 17 lipca 2014 r., YS i in., C‑141/12 i C‑372/12, EU:C:2014:2081, pkt 44 i przytoczone tam orzecznictwo).

58      Wreszcie, należy stwierdzić, po pierwsze, że przewidziane w art. 12 lit. a) i b) dyrektywy 95/46 prawa do dostępu i sprostowania nie obejmują pytań egzaminacyjnych, które nie stanowią jako takie danych osobowych egzaminowanego.

59      Po drugie, zarówno dyrektywa 95/46, jak i zastępujące ją rozporządzenie 2016/679 przewidują pewne ograniczenie tych praw.

60      Zgodnie bowiem z art. 13 ust. 1 lit. g) dyrektywy 95/46 państwo członkowskie może wydać przepisy prawne mające na celu ograniczenie zakresu praw i obowiązków przewidzianych w szczególności w art. 6 ust. 1 i w art. 12 tej dyrektywy, w sytuacji gdy ograniczenie takie stanowi środek konieczny dla zabezpieczenia praw i wolności innych osób.

61      W art. 23 ust. 1 lit. e) rozporządzenia 2016/679 lista powodów ustanawiania ograniczeń, przewidziana obecnie w art. 13 ust. 1 dyrektywy 95/46, została poszerzona o „inn[e] ważn[e] cel[e] leżąc[e] w ogólnym interesie publicznym Unii lub państwa członkowskiego”. Ponadto art. 15 rozporządzenia 2016/679, dotyczący prawa do dostępu przysługującego osobie, której dane dotyczą, stanowi w ust. 4, że prawo do uzyskania kopii danych osobowych nie może naruszać praw i wolności innych podmiotów.

62      Uwzględniając całokształt powyższych względów, na zadane pytania należy odpowiedzieć, iż art. 2 lit. a) dyrektywy 95/46 należy interpretować w ten sposób, że w okolicznościach takich jak te rozpatrywane w postępowaniu głównym pisemne odpowiedzi udzielone przez osobę przystępującą do egzaminu zawodowego i ewentualne naniesione przez egzaminatora komentarze odnoszące się do tych odpowiedzi stanowią dane osobowe w rozumieniu tego przepisu.

 W przedmiocie kosztów

63      Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (druga izba) orzeka, co następuje:

Artykuł 2 lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych należy interpretować w ten sposób, że w okolicznościach takich jak te rozpatrywane w postępowaniu głównym pisemne odpowiedzi udzielone przez osobę przystępującą do egzaminu zawodowego i ewentualne naniesione przez egzaminatora komentarze odnoszące się do tych odpowiedzi stanowią dane osobowe w rozumieniu tego przepisu.

Podpisy


*      Język postępowania: angielski.