Language of document : ECLI:EU:C:2003:596

WYROK TRYBUNAŁU

z dnia 6 listopada 2003 r.(*)

Dyrektywa 95/46/WE – Zakres stosowania – Publikacja danych osobowych w Internecie – Miejsce publikacji – Pojęcie przekazywania danych osobowych do państw trzecich – Swoboda wypowiedzi – Zgodność z dyrektywą 95/46 przewidzianej przez ustawodawstwo państwa członkowskiego zwiększonej ochrony danych osobowych

W sprawie C‑101/01

mającej za przedmiot skierowany do Trybunału, na podstawie art. 234 WE, przez Göta hovrätt (Szwecja) wniosek o wydanie, w ramach toczącego się przed tym sądem postępowania karnego przeciwko

Bodil Lindqvist,

orzeczenia w trybie prejudycjalnym, w szczególności w przedmiocie wykładni dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31),

TRYBUNAŁ,

w składzie: P. Jann, prezes pierwszej izby, pełniący obowiązki prezesa, C.W.A. Timmermans, C. Gulmann, J.N. Cunha Rodrigues i A. Rosas, prezesi izb, D.A.O. Edward (sprawozdawca) i J.P. Puissochet, F. Macken i S. von Bahr, sędziowie,

rzecznik generalny: A. Tizzano,

sekretarz: H. von Holstein, zastępca sekretarza,

rozważywszy uwagi na piśmie przedstawione:

–        w imieniu B. Lindqvist przez S. Larssona, advokat,

–        w imieniu rządu szwedzkiego przez A. Krusego, działającego w charakterze pełnomocnika,

–        w imieniu rządu niderlandzkiego przez H.G. Sevenster, działającą w charakterze pełnomocnika,

–        w imieniu rządu Zjednoczonego Królestwa przez G. Amodeo, działającą w charakterze pełnomocnika, wspieraną przez J. Stratford, barrister,

–        w imieniu Komisji Wspólnot Europejskich przez L. Ström oraz X. Lewisa, działających w charakterze pełnomocników,

uwzględniając sprawozdanie na rozprawę,

po wysłuchaniu uwag ustnych B. Lindqvist, reprezentowanej przez S. Larssona, rządu szwedzkiego, reprezentowanego przez A. Krusego oraz B. Hernqvist, działającą w charakterze pełnomocnika, rządu niderlandzkiego, reprezentowanego przez J. van Bakel, działającą w charakterze pełnomocnika, rządu Zjednoczonego Królestwa, reprezentowanego przez J. Stratford, Komisji, reprezentowanej przez L. Ström oraz C. Dockseya, działającego w charakterze pełnomocnika, oraz Urzędu Nadzoru EFTA, reprezentowanego przez D. Sif Tynes, działającą w charakterze pełnomocnika, na rozprawie w dniu 30 kwietnia 2002 r.,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 19 września 2002 r.,

wydaje następujący

Wyrok

1        Postanowieniem z dnia 23 lutego 2001 r., które wpłynęło do Trybunału w dniu 1 marca 2001 r., Göta hovrätt przedstawił, na podstawie art. 234 WE, siedem pytań prejudycjalnych dotyczących w szczególności wykładni dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31).

2        Pytania te zostały sformułowane w ramach postępowania karnego toczącego się przed tym sądem przeciwko B. Lindqvist, oskarżonej o naruszenie przepisów prawa szwedzkiego dotyczących ochrony danych osobowych przez opublikowanie na swojej stronie internetowej danych osobowych dotyczących pewnej liczby osób, które podobnie jak ona świadczyły nieodpłatnie pracę na rzecz jednej z parafii kościoła protestanckiego w Szwecji.

 Ramy prawne

 Prawodawstwo wspólnotowe

3        Zgodnie ze swym art. 1 ust. 1 dyrektywa 95/46 ma na celu ochronę podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do prywatności w odniesieniu do przetwarzania danych osobowych.

4        Artykuł 3 dyrektywy 95/46 dotyczący zakresu jej stosowania stanowi:

„1. Niniejsza dyrektywa stosuje się do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.

2.      Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:

–       w ramach działalności wykraczającej poza zakres prawa Wspólnoty, jak np. dane, o których stanowi tytuł V i VI Traktatu o Unii Europejskiej, a w żadnym razie do działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (łącznie z dobrą kondycją gospodarczą państwa, gdy działalność ta dotyczy spraw związanych z bezpieczeństwem państwa) oraz działalności państwa w obszarach prawa karnego,

–       przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze”.

5        Artykuł 8 dyrektywy 95/46 zatytułowany „Przetwarzanie szczególnych kategorii danych” stanowi:

„1.      Państwa członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak również przetwarzanie danych dotyczących zdrowia i życia seksualnego.

2.      Ustęp 1 nie ma zastosowania, w przypadku gdy:

a)      osoba, której dane dotyczą, udzieliła wyraźnej zgody na ich przetwarzanie, chyba że ustawodawstwo państwa członkowskiego przewiduje, że zakaz określony w ust. 1 nie może być uchylony mimo udzielonej zgody przez osobę, której dane dotyczą; lub

b)      przetwarzanie danych jest konieczne do wypełniania obowiązków i szczególnych uprawnień administratora danych w dziedzinie prawa pracy, o ile jest to dozwolone przez prawo krajowe przewidujące odpowiednie środki zabezpieczające; lub

c)      przetwarzanie danych jest konieczne dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, w przypadku gdy osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do udzielenia zgody; lub

d)      przetwarzanie danych jest dokonywane w ramach legalnej działalności wspartej odpowiednimi gwarancjami przez fundację, stowarzyszenie lub inną instytucję nienastawioną na osiąganie zysku, której cele mają charakter polityczny, filozoficzny, religijny lub związkowy, pod warunkiem że przetwarzanie danych odnosi się wyłącznie do członków tej instytucji lub osób mających z nią regularny kontakt w związku z jej celami oraz że dane nie zostaną ujawnione osobie trzeciej bez zgody osób, których dane dotyczą; lub

e)      przetwarzanie dotyczy danych, które [w sposób oczywisty] są podawane do wiadomości publicznej przez osobę, której dane dotyczą, lub jest konieczne do ustalenia, wykonania lub ochrony roszczeń prawnych.

3.      Ustęp 1 nie ma zastosowania, w przypadku gdy przetwarzanie danych wymagane jest do celów medycyny prewencyjnej, diagnostyki medycznej, świadczenia opieki lub leczenia, lub też zarządzania opieką zdrowotną, jak również w przypadkach gdy dane są przetwarzane przez pracownika służby zdrowia [podlegającego] zgodnie z przepisami prawa krajowego lub zasadami określonymi przez właściwe krajowe instytucje […] obowiązkowi zachowania tajemnicy zawodowej lub przez inną osobę również zobowiązaną do zachowania tajemnicy.

4.      Pod warunkiem ustanowienia odpowiednich środków zabezpieczających państwa członkowskie mogą ze względu na istotny interes publiczny ustalić dodatkowe wyłączenia poza tymi, które zostały przewidziane w ust. 2, na mocy ustawy krajowej lub decyzji organu nadzorczego.

5.      Przetwarzanie danych dotyczących przestępstw, wyroków skazujących lub środków bezpieczeństwa może być dokonywane jedynie pod kontrolą władz publicznych lub też, jeżeli zgodnie z prawem krajowym ustanowiono określone środki zabezpieczające, z zachowaniem odstępstw, które państwo członkowskie może udzielić zgodnie z obowiązującymi przepisami prawa krajowego, zapewniając zachowanie odpowiednich zabezpieczeń. Jednak kompletny rejestr przestępstw kryminalnych może być prowadzony tylko pod kontrolą władzy publicznej.

Państwa członkowskie mogą ustanowić przepisy zobowiązujące oficjalny organ do sprawowania kontroli nad przetwarzaniem danych dotyczących sankcji administracyjnych lub orzeczeń w sprawach cywilnych.

6.       Odstępstwa od ust. 1 przewidziane w ust. 4 i 5 są notyfikowane Komisji.

7.       Państwa członkowskie określą warunki, w których może następować przetwarzanie krajowego numeru identyfikacyjnego lub innego identyfikatora ogólnego stosowania”.

6        Artykuł 9 dyrektywy 95/46, zatytułowany „Przetwarzanie danych osobowych i wolność wypowiedzi”, stanowi:

„Państwa członkowskie wprowadzają możliwość wyłączenia lub odstąpienia od przepisów niniejszego rozdziału, rozdziałów IV i VI w przypadku przetwarzania danych osobowych wyłącznie w celach dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego jedynie wówczas, gdy jest to konieczne dla pogodzenia prawa do zachowania prywatności z przepisami dotyczącymi wolności wypowiedzi”.

7        Artykuł 13 dyrektywy 95/46, zatytułowany „Zwolnienia i ograniczenia”, przewiduje, że państwa członkowskie mogą przyjąć środki ustawodawcze w celu ograniczenia zakresu obowiązków ustanowionych przez dyrektywę i ciążących na administratorze danych odpowiedzialnym za ich przetwarzanie, w szczególności w zakresie poinformowania osób zainteresowanych w zakresie, w jakim te ograniczenia stanowią środek konieczny dla zabezpieczenia na przykład bezpieczeństwa narodowego, obronności, bezpieczeństwa publicznego, ważnego interesu ekonomicznego lub finansowego państwa członkowskiego lub Unii Europejskiej oraz prowadzonych czynności dochodzeniowo‑śledczych i prokuratorskich w sprawach karnych lub sprawach o naruszenie zasad etyki w zawodach podlegających regulacji.

8        Artykuł 25 dyrektywy 95/46, który znajduje się w rozdziale IV, zatytułowanym „Przekazywanie danych osobowych do państw trzecich”, ma następujące brzmienie:

„1.       Państwa członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas, gdy niezależnie od [z zastrzeżeniem] zgodności z krajowymi przepisami przyjętymi na podstawie innych przepisów niniejszej dyrektywy dane państwo trzecie zapewni odpowiedni stopień ochrony.

2.       Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji; szczególną uwagę zwracać się będzie na charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, przepisy prawa, zarówno ogólne, jak i branżowe, obowiązujące w [danym] państwie trzecim oraz przepisy zawodowe i środki bezpieczeństwa stosowane w tym państwie.

3.       Państwa członkowskie i Komisja będą informować się wzajemnie o przypadkach, kiedy uznają, że państwo trzecie nie zapewnia odpowiedniego stopnia ochrony w znaczeniu ust. 2.

4.       Jeżeli Komisja stwierdzi, na podstawie procedury przewidzianej w art. 31 ust. 2, że państwo trzecie nie zapewnia odpowiedniego stopnia ochrony w znaczeniu ust. 2 niniejszego artykułu, państwa członkowskie podejmą konieczne środki, aby nie dopuścić do przekazania jakichkolwiek danych tego samego rodzaju do wspomnianego państwa trzeciego.

5.       We właściwym czasie Komisja przystąpi do negocjacji w celu zaradzenia sytuacji stwierdzonej na podstawie ust. 4.

6.       Komisja może stwierdzić, zgodnie z procedurą określoną w art. 31 ust. 2, że państwo trzecie zapewnia prawidłowy stopień ochrony w znaczeniu ust. 2 niniejszego artykułu, co wynika z jego prawa krajowego lub międzynarodowych zobowiązań, jakie państwo to przyjęło, szczególnie po zakończeniu negocjacji określonych w ust. 5, w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych.

Państwa członkowskie podejmują środki niezbędne w celu wykonania decyzji Komisji”.

9        W chwili przyjęcia dyrektywy 95/46 Królestwo Szwecji złożyło do protokołu Rady oświadczenie dotyczące art. 9 dyrektywy (dokument Rady nr 4649/95 z dnia 2 lutego 1995 r.), które stanowi:

„Królestwo Szwecji stoi na stanowisku, że pojęcie wypowiedzi o charakterze artystycznym lub literackim odnosi się raczej do środków wyrazu aniżeli do treści komunikatu lub jego jakości”.

10      Europejska Konwencja o ochronie praw człowieka i podstawowych wolności, sporządzona w Rzymie w dniu 4 listopada 1950 r. (zwana dalej „EKPC”), ustanawia w art. 8 prawo do poszanowania życia prywatnego i rodzinnego, natomiast w art. 10 zawiera przepisy dotyczące wolności wypowiedzi.

 Ustawodawstwo krajowe

11      Dyrektywa 95/46 została transponowana do prawa szwedzkiego przez Personuppgiftslag (szwedzką ustawę o danych osobowych, SFS 1998, nr 204 zwaną dalej „PUL”).

 Sprawa przed sądem krajowym i pytania prejudycjalne

12      Oprócz tego, że B. Lindqvist była pracownikiem najemnym jako sprzątaczka, pełniła również funkcję katechetki w parafii Alseda (Szwecja). B. Lindqvist uczęszczała na kurs informatyczny, w ramach którego miała w szczególności stworzyć stronę domową w Internecie. Pod koniec 1998 r. utworzyła ona w domu, na swoim osobistym komputerze, strony internetowe mające ułatwić uzyskanie potrzebnych informacji parafianom przygotowującym się do bierzmowania. Na jej wniosek administrator strony Kościoła Szwecji utworzył linki pomiędzy utworzonymi przez nią stronami i stroną Kościoła.

13      Utworzone przez nią strony zawierały informacje na temat jej osoby oraz na temat osiemnastu jej kolegów z parafii, obejmujące całe brzmienie ich nazwisk lub w niektórych przypadkach tylko ich imiona. Ponadto B. Lindqvist z pewną dozą humoru opisała funkcje pełnione przez jej kolegów oraz sposób spędzania przez nich wolnego czasu. W kilku przypadkach zamieściła informacje o ich sytuacji rodzinnej, numer telefonu i inne dane. Dodatkowo wskazała, że jedna z jej koleżanek doznała urazu stopy i w związku z tym przebywała na zwolnieniu lekarskim w niepełnym wymiarze.

14      B. Lindqvist nie poinformowała tych osób o istnieniu rzeczonych stron ani nie uzyskała uprzednio ich zgody na opublikowanie danych, ani też nie zgłosiła swoich działań do Datainspektion (instytucji publicznej zajmującej się ochroną danych przekazywanych drogą informatyczną). Gdy tylko dowiedziała się, że niektóre osoby były z tego faktu niezadowolone, usunęła wspomniane strony internetowe.

15      Prokurator wszczął przeciwko B. Lindqvist postępowanie o naruszenie PUL i domagał się jej skazania na tej podstawie, że:

–        przetwarzała dane osobowe w sposób zautomatyzowany bez uprzedniego pisemnego zgłoszenia tego faktu do Datainspektion (art. 36 PUL);

–        przetwarzała bez pozwolenia wrażliwe dane osobowe, tj. dane dotyczące urazu stopy i przebywania na zwolnieniu lekarskim w niepełnym wymiarze (art. 13 PUL);

–        przekazała do państw trzecich dane osobowe przetwarzane bez pozwolenia (art. 33 PUL).

16      B. Lindqvist przyznała się do popełnienia zarzucanych jej czynów, ale nie przyznała się do popełnienia przestępstwa. Skazana przez Eksjö tingsrätt (Szwecja) na karę grzywny wniosła apelację od tego wyroku do Göta hovrätt.

17      Nałożona na nią grzywna wynosiła 4000 SEK, co wynika z zastosowania do kwoty 100 SEK, przyjętej w odniesieniu do możliwości płatniczych B. Lindqvist, mnożnika 40 ustalonego w odniesieniu do wagi przestępstwa. B. Lindqvist została ponadto zobowiązana do zapłaty 300 SEK na szwedzki fundusz pomocy ofiarom przestępstw.

18      Powziąwszy wątpliwości w zakresie wykładni prawa wspólnotowego mającego w tej sprawie zastosowanie, a w szczególności dyrektywy 95/46, Göta hovrätt postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)      Czy zamieszczenie danych osoby – jej nazwiska lub jej nazwiska i numeru telefonu – na stronie internetowej jest operacją wchodzącą w zakres stosowania dyrektywy [95/46]? Czy fakt wymienienia na utworzonej przez siebie stronie internetowej pewnej liczby osób oraz zamieszczenia informacji i oświadczeń dotyczących warunków pracy oraz sposobów spędzania wolnego czasu przez te osoby stanowi »przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany«?

2)      W przypadku udzielenia na powyższe pytanie odpowiedzi przeczącej – czy fakt stworzenia na stronie głównej podstron dotyczących konkretnie około piętnastu osób z linkami pomiędzy stronami, które pozwalają na poszukiwanie za pomocą imion, może zostać uznany za »inne przetwarzanie danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych« w rozumieniu art. 3 ust. 1?

Jeżeli odpowiedź na jedno z powyższych pytań jest twierdząca, Göta hovrätt zwraca się ponadto z następującymi pytaniami:

3)      Czy fakt zamieszczenia tego typu danych dotyczących kolegów z pracy na prywatnej stronie internetowej, która jest jednak dostępna dla wszystkich, którzy znają adres tej strony, może zostać uznany za niepodlegający zakresowi stosowania dyrektywy [95/46] na mocy jednego z wyłączeń wymienionych w art. 3 ust. 2?

4)      Czy zamieszczona na stronie internetowej informacja, że jedna z koleżanek z pracy, wymieniona z nazwiska, doznała urazu stopy i przebywa na zwolnieniu lekarskim w niepełnym wymiarze, stanowi dane osobowe dotyczące zdrowia, które na podstawie art. 8 ust. 1 nie mogą być przetwarzane?

5)      Przekazywanie danych osobowych do państw trzecich jest w niektórych przypadkach zakazane na podstawie przepisów dyrektywy [95/46]. Czy fakt zamieszczenia na stronie internetowej przez daną osobę, za pomocą komputera w Szwecji, danych osobowych, które są przechowywane na serwerze w Szwecji, ale w taki sposób, że te dane osobowe stają się dostępne obywatelom państw trzecich, stanowi przekazywanie danych osobowych do państw trzecich w rozumieniu dyrektywy [95/46]? Czy odpowiedź będzie taka sama, jeżeli według posiadanych przez nas informacji żaden obywatel państwa trzeciego nie zapoznał się z tymi danymi lub jeżeli określony serwer fizycznie znajduje się w państwie trzecim?

6)      Czy w takim przypadku jak niniejszy można uznać, że przepisy dyrektywy [95/46] wprowadzają ograniczenie niezgodne z ogólnymi zasadami swobody wypowiedzi lub z innymi prawami i swobodami obowiązującymi w ramach Unii Europejskiej, które odpowiadają w szczególności art. 10 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności?

Wreszcie Göta hovrätt formułuje następujące pytanie:

7)      Czy w dziedzinach objętych powyższymi pytaniami państwo członkowskie może rozszerzyć ochronę danych osobowych lub zakres stosowania wynikający z dyrektywy [95/46] również wówczas, gdy nie wchodzi w grę ochrona jednego z interesów wymienionych w art. 13?”.

 W przedmiocie pytania pierwszego

19      W pytaniu pierwszym sąd krajowy dąży do ustalenia, czy operacja polegająca na zamieszczeniu na stronie internetowej danych różnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków, np. numeru telefonu lub informacji dotyczących ich warunków pracy i sposobów spędzania wolnego czasu, stanowi „przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany” w rozumieniu art. 3 ust. 1 dyrektywy 95/46.

 Uwagi przedłożone Trybunałowi

20      Według B. Lindqvist nie można uznać za zasadne twierdzenia, że zwykłe wymienienie nazwiska osoby lub danych osobowych w tekście zamieszczonym na stronie internetowej stanowi zautomatyzowane przetwarzanie danych osobowych. Natomiast zamieszczenie takich danych w słowach kluczowych ukrytych w tagach („meta tags”) strony internetowej, które pozwalają na ich indeksowanie i znalezienie tej strony przy użyciu wyszukiwarki, mogłoby stanowić takie przetwarzanie.

21      Rząd szwedzki utrzymuje, że pojęcie przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany, o którym mowa w art. 3 ust. 1 dyrektywy 95/46, obejmuje wszelkie przetwarzanie w formacie informatycznym, tzn. w dwójkowym systemie liczbowym. Wobec powyższego przetwarzanie jakichkolwiek danych osobowych za pomocą komputera, na przykład przy użyciu edytora tekstu lub w celu zamieszczenia ich na stronie internetowej, jest przetwarzaniem objętym zakresem stosowania dyrektywy 95/46.

22      Rząd niderlandzki podnosi, że zamieszczenia danych osobowych na stronie internetowej dokonuje się przy użyciu komputera i serwera, co stanowi istotną cechę automatyzacji, w związku z czym należałoby przyjąć, że dane te są przetwarzane w sposób zautomatyzowany.

23      Komisja podnosi, że dyrektywa 95/46 ma zastosowanie do każdego przetwarzania danych osobowych określonego w jej art. 3, niezależnie od zastosowanych środków technicznych. Udostępnienie danych osobowych w Internecie stanowi w konsekwencji przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany, pod warunkiem że nie istnieją ograniczenia techniczne, które ograniczają przetwarzanie do operacji wykonywanych wyłącznie ręcznie. Strona internetowa jest tym samym już ze swej natury objęta zakresem stosowania dyrektywy 95/46.

 Odpowiedź Trybunału

24      Termin „dane osobowe” użyty w art. 3 ust. 1 dyrektywy 95/46 obejmuje, zgodnie z definicją zawartą w art. 2 lit. a) tej dyrektywy, „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Pojęcie to odnosi się bez wątpienia do nazwiska osoby w połączeniu z jej numerem telefonu lub informacjami dotyczącymi jej warunków pracy czy sposobów spędzania przez nią wolnego czasu.

25      Co się tyczy terminu „przetwarzanie” takich danych użytego w art. 3 ust. 1 dyrektywy 95/46, oznacza ono, zgodnie z definicją zawartą w art. 2 lit. b) dyrektywy, „każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych”. Ten ostatni przepis wymienia kilka przykładów takich operacji, a wśród nich ujawnianie poprzez transmisję i rozpowszechnianie lub udostępnianie w inny sposób. Z powyższego wynika, że operację polegającą na zamieszczeniu danych osobowych na stronie internetowej należy uznać za takie przetwarzanie.

26      Pozostaje ustalić, czy to przetwarzanie odbywa się „w całości lub w części w sposób zautomatyzowany”. W tym zakresie należy zauważyć, że zamieszczenie tych informacji na stronie internetowej wymaga, według aktualnie stosowanych procedur technicznych i informatycznych, załadowania tej strony na serwer oraz przeprowadzenia niezbędnych operacji, które uczynią tę stronę dostępną dla osób, które mają połączenie z Internetem. Operacje te są realizowane, przynajmniej częściowo, w sposób zautomatyzowany.

27      Na pytanie pierwsze należy więc odpowiedzieć, że operacja polegająca na zamieszczeniu na stronie internetowej danych różnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków, np. numeru telefonu lub informacji dotyczących ich warunków pracy i sposobów spędzania przez nie wolnego czasu stanowi „przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany” w rozumieniu art. 3 ust. 1 dyrektywy 95/46.

  W przedmiocie pytania drugiego

28      Z uwagi na odpowiedź udzieloną na pytanie pierwsze nie ma potrzeby udzielania odpowiedzi na pytanie drugie, które zostało zadane na wypadek udzielenia odpowiedzi przeczącej na pytanie pierwsze.

 W przedmiocie pytania trzeciego

29      W trzecim pytaniu sąd krajowy zmierza zasadniczo do ustalenia, czy takie przetwarzanie danych osobowych jak to będące przedmiotem pierwszego pytania jest objęte jednym z wyłączeń określonych w art. 3 ust. 2 dyrektywy 95/46.

 Uwagi przedłożone Trybunałowi

30      B. Lindqvist podnosi, że osoba prywatna, która, korzystając ze swobody wypowiedzi, tworzy strony internetowe w ramach działalności niemającej celu zarobkowego lub w ramach swojego wolnego czasu, nie prowadzi działalności gospodarczej i nie podlega zakresowi stosowania prawa wspólnotowego. Gdyby Trybunał miał rozpoznawać sytuację przeciwną, w grę wchodziłaby kwestia ważności dyrektywy 95/46, ponieważ przyjmując tę dyrektywę prawodawca wspólnotowy przekroczyłby kompetencje przyznane mu przez art. 100A traktatu WE (obecnie, po zmianie, art. 95 WE). W rezultacie zbliżenie ustawodawstw, które ma na celu ustanowienie i funkcjonowanie rynku wewnętrznego, nie może służyć za podstawę prawną do przyjęcia środków wspólnotowych, które regulują prawo osób prywatnych do korzystania ze swobody wypowiedzi w Internecie.

31      Rząd szwedzki podnosi, że przy transpozycji dyrektywy 95/46 do prawa krajowego ustawodawca szwedzki uznał, że przetwarzanie danych osobowych przez osobę fizyczną polegające na przekazywaniu tych danych nieograniczonej liczbie osób, na przykład za pomocą Internetu, nie może być uznane za przetwarzanie danych „w trakcie czynności o czysto osobistym lub domowym charakterze” w rozumieniu art. 3 ust. 2 tiret drugie dyrektywy 95/46. Natomiast rząd ten nie wyklucza, że wyłączenie określone w tiret pierwsze tego ustępu dotyczy przypadków, w których osoba fizyczna publikuje dane osobowe na stronie internetowej wyłącznie w ramach korzystania ze swobody wypowiedzi i bez żadnego związku z prowadzoną działalnością zawodową lub handlową.

32      Zdaniem rządu niderlandzkiego zautomatyzowane przetwarzanie danych osobowych, takie jak to rozpatrywane w postępowaniu przed sądem krajowym, nie podlega żadnemu z wyłączeń określonych w art. 3 ust. 2 dyrektywy 95/46. Co się tyczy w szczególności wyłączenia przewidzianego w art. 3 ust. 2 tiret drugie, rząd ten podnosi, że twórca strony internetowej udostępnia dane, które na niej zamieścił, grupie osób, która jest z zasady nieograniczona.

33      Komisja podnosi, że strona internetowa, taka jak ta rozpatrywana w postępowaniu przed sądem krajowym, nie może być uznana za nieobjętą zakresem stosowania dyrektywy 95/46 na mocy art. 3 ust. 2 tej dyrektywy, natomiast stanowi, jeśli uwzględnić cel strony internetowej rozpatrywanej przed sądem krajowym, twórczość artystyczną i literacką w rozumieniu art. 9 tej dyrektywy.

34      Komisja stoi na stanowisku, że można dokonać podwójnej wykładni art. 3 ust. 2 tiret pierwsze dyrektywy 95/46. Jedna wykładnia polegałaby na ograniczeniu zakresu tego przepisu do dziedzin wymienionych tytułem przykładu, a mianowicie działań objętych zasadniczo tym, co zwykło się nazywać drugim i trzecim filarem. Druga wykładnia polegałaby na wyłączeniu z zakresu stosowania dyrektywy 95/46 wykonywania wszelkiej działalności, która nie podlega prawu wspólnotowemu.

35      Komisja twierdzi, że prawo wspólnotowe nie ogranicza się wyłącznie do działalności gospodarczej związanej z czterema podstawowymi swobodami. Odwołując się do podstawy prawnej dyrektywy 95/46, jej celu, art. 6 UE, Karty praw podstawowych Unii Europejskiej, proklamowanej w Nicei dnia 18 grudnia 2000 r. (Dz.U. C 364, s. 1), Konwencji Rady Europy z dnia 28 stycznia 1981 r. w sprawie ochrony jednostek w zakresie automatycznego przetwarzania danych, stwierdza, że celem tej dyrektywy jest uregulowanie swobodnego przepływu danych osobowych jako prowadzenia nie tylko działalności gospodarczej, ale również działalności o charakterze społecznym w ramach integracji i funkcjonowania rynku wewnętrznego.

36      Dodaje, że wykluczenie w sposób ogólny z zakresu stosowania dyrektywy 95/46 stron internetowych, które nie zawierają żadnego elementu handlowego lub nie są związane ze świadczeniem usług, mogłoby pociągnąć za sobą poważne problemy związane z ich rozgraniczeniem. Duża liczba stron internetowych zawierających dane osobowe służące napiętnowaniu określonych osób w szczególnych celach zostałaby wykluczona z zakresu stosowania tej dyrektywy.

 Odpowiedź Trybunału

37      Artykuł 3 ust. 2 dyrektywy 95/46 przewiduje dwa wyłączenia z zakresu jej stosowania.

38      Pierwszy z tych przypadków dotyczy przetwarzania danych osobowych w ramach działalności wykraczającej poza zakres prawa Wspólnoty, jak na przykład dane, o których stanowią tytuły V i VI Traktatu o Unii Europejskiej, a w każdym razie w ramach działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (łącznie z dobrą kondycją gospodarczą państwa, gdy działalność ta dotyczy spraw związanych z bezpieczeństwem państwa) oraz w ramach działalności państwa w obszarach prawa karnego.

39      Zważywszy na to, że rozpatrywana przed sądem krajowym działalność B. Lindqvist nie jest działalnością gospodarczą, tylko niezarobkową i religijną, należy zbadać, czy stanowi ona przetwarzanie danych osobowych „w ramach działalności wykraczającej poza zakres prawa Wspólnoty” w rozumieniu art. 3 ust. 2 tiret pierwsze dyrektywy 95/46.

40      Trybunał orzekł już w odniesieniu do dyrektywy 95/46, że odwołanie się do art. 100a traktatu jako podstawy prawnej nie zakłada istnienia faktycznego związku ze swobodnym przepływem między państwami członkowskimi w każdej z sytuacji przewidzianych przez akt oparty na takiej podstawie (zob. wyrok z dnia 20 maja 2003 r. w sprawach połączonych C‑465/00, C‑138/01 i C‑139/01 Österreichischer Rundfunk i in., dotychczas nieopublikowany w Zbiorze, pkt 41 i przytoczone tam orzecznictwo).

41      Wykładnia przeciwna mogłaby bowiem spowodować, że granice zakresu stosowania tej dyrektywy staną się szczególnie niejednoznaczne i niepewne, co z kolei pozostawałoby w sprzeczności z jej podstawowym celem, jakim jest zbliżenie przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich w celu wyeliminowania wynikających z rozbieżności między ustawodawstwami krajowymi przeszkód w funkcjonowaniu rynku wewnętrznego (ww. wyrok w sprawie Österreichischer Rundfunk i in., pkt 42).

42      W takich okolicznościach niesłuszne byłoby przyjęcie takiej wykładni, zgodnie z którą wyrażenie „działalność wykraczająca poza zakres prawa Wspólnoty” miałoby zakres zmuszający do sprawdzenia w każdym przypadku, czy określona działalność narusza bezpośrednio swobodny przepływ między państwami członkowskimi.

43      Rodzaje działalności wymienione tytułem przykładu w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46 (a mianowicie rodzaje działalności, o których stanowią tytuły V i VI Traktatu o Unii Europejskiej, jak również przetwarzanie w ramach działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa oraz w ramach działalności państwa w obszarach prawa karnego) stanowią w każdym razie działania właściwe państwom i władzom państwowym, obce dziedzinom działalności jednostek.

44      Należy więc stwierdzić, że rodzaje działalności wymienione tytułem przykładu w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46 mają na celu określenie zakresu przewidzianego w nim wyłączenia w taki sposób, że to wyłączenie ma zastosowanie wyłącznie do takich działalności, które zostały w nim wyraźnie wymienione i które nie mogą być zaliczone do tego samego rodzaju (eiusdem generis).

45      Działalność niezarobkowa lub religijna, taka jak prowadzona przez B. Lindqvist, nie może być traktowana na równi z rodzajami działalności wymienionymi w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46 i nie jest zatem objęta tym wyłączeniem.

46      Co się tyczy wyłączenia przewidzianego w art. 3 ust. 2 tiret drugie dyrektywy 95/46, motyw 12 tej dyrektywy, który odnosi się do tego wyłączenia, wskazuje korespondencję i przechowywanie spisów adresów jako przykłady przetwarzania danych przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze.

47      Z powyższego wynika, że to drugie wyłączenie powinno być interpretowane jako obejmujące wyłącznie działania wchodzące w zakres życia prywatnego lub rodzinnego jednostki, co w sposób oczywisty nie ma miejsca w przypadku przetwarzania danych osobowych polegającego na ich opublikowaniu w Internecie w taki sposób, że staną się one dostępne dla nieograniczonej liczby osób.

48      Na pytanie trzecie należy zatem odpowiedzieć, że przetwarzanie danych osobowych takie jak określone w odpowiedzi na pierwsze pytanie nie jest objęte żadnym z wyłączeń określonych w art. 3 ust. 2 dyrektywy 95/46.

 W przedmiocie pytania czwartego

49      W pytaniu czwartym sąd krajowy dąży do ustalenia, czy informacja, że dana osoba doznała urazu stopy i przebywa na zwolnieniu lekarskim w niepełnym wymiarze, stanowi dane osobowe dotyczące zdrowia w rozumieniu art. 8 ust. 1 dyrektywy 95/46.

50      Zważywszy na przedmiot tej dyrektywy, należy dokonać wykładni rozszerzającej użytego w jej art. 8 ust. 1 wyrażenia „dane dotyczące zdrowia”, tak aby obejmowało ono informacje dotyczące wszystkich aspektów, zarówno fizycznych, jak i psychicznych, zdrowia osoby.

51      Na pytanie czwarte należy zatem odpowiedzieć, że informacja, iż dana osoba doznała urazu stopy i przebywa na zwolnieniu lekarskim w niepełnym wymiarze, stanowi dane osobowe dotyczące zdrowia w rozumieniu art. 8 ust. 1 dyrektywy 95/46.

 W przedmiocie pytania piątego

52      W pytaniu piątym sąd krajowy zmierza zasadniczo do ustalenia, czy „przekazywanie danych do państw trzecich” w rozumieniu art. 25 dyrektywy 95/46 ma miejsce, w przypadku gdy osoba, która znajduje się w danym państwie członkowskim, zamieszcza na stronie internetowej przechowywanej przez osobę fizyczną lub prawną będącą administratorem witryny internetowej, na której wspomniana strona może być odwiedzana (zwaną dalej „dostawcą usług hostingowych”) i mającą swoją siedzibę w tym samym państwie lub w innym państwie członkowskim dane osobowe, czyniąc je w ten sposób dostępnymi dla każdego, kto połączy się z Internetem, w tym również dla osób znajdujących się w państwach trzecich. Sąd krajowy pyta ponadto, czy odpowiedź będzie taka sama, jeżeli okaże się, że w rzeczywistości żaden obywatel państwa trzeciego nie zapoznał się z tymi danymi, lub jeżeli serwer, na którym przechowywana jest strona, znajduje się fizycznie w państwie trzecim.

 Uwagi przedłożone Trybunałowi

53      Komisja i rząd szwedzki stoją na stanowisku, że zamieszczenie danych osobowych na stronie internetowej za pomocą komputera w taki sposób, że stają się one dostępne dla obywateli państw trzecich, stanowi przekazywanie danych osobowych do państw trzecich w rozumieniu dyrektywy 95/46. Odpowiedź brzmiałaby identycznie również wówczas, gdyby w rzeczywistości żaden obywatel państwa trzeciego nie zapoznał się z tymi danymi lub gdyby serwer, na którym są one przechowywane, fizycznie znajdował się w państwie trzecim.

54      Rząd niderlandzki przypomina, że pojęcie przekazywania nie zostało zdefiniowane w dyrektywie 95/46. Uważa on z jednej strony, że pojęcie to należy rozumieć w ten sposób, że obejmuje ono każde działanie mające na celu zamierzone przekazanie danych osobowych z terytorium jednego państwa członkowskiego do państwa trzeciego, a z drugiej strony, że nie można dokonać rozróżnienia pomiędzy różnymi formami, pod którymi dane te stają się dostępne dla osób trzecich. Wywodzi z tego, że zamieszczenie danych osobowych na stronie internetowej za pomocą komputera nie może zostać uznane za przekazywanie danych osobowych do państwa trzeciego w rozumieniu art. 25 dyrektywy 95/46.

55      Rząd Zjednoczonego Królestwa podnosi, że art. 25 dyrektywy 95/46 dotyczy przekazywania danych do państw trzecich, a nie ich dostępności z państw trzecich. Pojęcie przekazywania wymaga jego zdaniem przekazania danych przez osobę znajdującą się w konkretnym miejscu osobie trzeciej znajdującej się w innym miejscu. Tylko w przypadku takiego przekazywania art. 25 dyrektywy 95/46 nakłada na państwa członkowskie obowiązek upewnienia się, że dane państwo trzecie zapewnia odpowiedni stopień ochrony danych osobowych.

 Odpowiedź Trybunału

56      Dyrektywa 95/46 nie definiuje pojęcia przekazywania danych do państw trzecich ani w art. 25, ani w żadnym innym przepisie, a w szczególności nie w art. 2.

57      W celu ustalenia, czy zamieszczenie na stronie internetowej danych osobowych stanowi przez sam fakt ich udostępnienia osobom znajdującym się w państwach trzecich „przekazywanie” tych danych do państwa trzeciego w rozumieniu art. 25 dyrektywy 95/46, konieczne jest uwzględnienie z jednej strony technicznego charakteru wykonanych operacji i z drugiej strony celu oraz systematyki rozdziału IV wspomnianej dyrektywy, w którym zawarty jest art. 25.

58      Do zamieszczonych w Internecie informacji dostęp może mieć, praktycznie w każdej chwili, nieograniczona liczba osób zamieszkałych w różnych miejscach. Wszechobecność tych informacji wynika w szczególności z faktu, że wykorzystywane w ramach Internetu środki techniczne są stosunkowo proste i coraz mniej kosztowne.

59      Zgodnie z różnymi możliwościami korzystania z Internetu, które w latach 90. stały się dostępne dla osób prywatnych takich jak B. Lindqvist, autor strony, która ma być opublikowana w Internecie, przekazuje dane stanowiące tę stronę swojemu dostawcy usług hostingowych. Dostawca zarządza konieczną infrastrukturą informatyczną, mającą zapewnić przechowywanie tych danych i podłączenie serwera, na którym przechowywana jest strona internetowa. Umożliwia to późniejsze przekazywanie tych danych każdemu, kto połączy się z Internetem i będzie chciał je otrzymać. Komputery, które stanowią tę infrastrukturę informatyczną, mogą znajdować się – a wręcz często znajdują się – w państwie lub w kilku państwach, które nie są miejscem prowadzenia działalności gospodarczej przez dostawcę usług hostingowych, przy czym jego klienci o tym nie wiedzą lub często nie mają możliwości się o tym dowiedzieć.

60      Z akt sprawy wynika, że aby uzyskać informacje zawarte na stronach internetowych, na których B. Lindqvist zamieściła dane dotyczące jej kolegów, użytkownik Internetu musi nie tylko połączyć się z siecią, ale również wykonać osobiście określone czynności, konieczne, aby zapoznać się z tymi stronami. Innymi słowy, strony internetowe B. Lindqvist nie były wyposażone w mechanizmy techniczne umożliwiające automatyczne przesyłanie tych informacji osobom, które nie starały się świadomie do tych stron dotrzeć i je otworzyć.

61      Z powyższego wynika, że w sytuacji takiej jak ta w postępowaniu przed sądem krajowym dane osobowe, które dochodzą do komputera osoby znajdującej się w państwie trzecim i pochodzą od osoby, która je zamieściła na stronie internetowej, nie zostały przekazane bezpośrednio pomiędzy tymi dwiema osobami, ale za pośrednictwem infrastruktury informatycznej dostawcy usług hostingowych, gdzie strona ta jest przechowywana.

62      To właśnie w tym kontekście należy zbadać, czy prawodawca wspólnotowy miał zamiar, dla celów stosowania rozdziału IV dyrektywy 95/46, objąć pojęciem przekazywania danych do państw trzecich w rozumieniu art. 25 tej dyrektywy operacje takie jak te przeprowadzone przez B. Lindqvist. Należy podkreślić, że piąte pytanie sądu krajowego dotyczy wyłącznie tych operacji, z wyłączeniem operacji wykonywanych przez dostawców usług hostingowych.

63      Rozdział IV dyrektywy 95/46, w którym zawarty jest art. 25, ustanawia szczególny system, zawierający szczególne normy, który służy zapewnieniu przez państwa członkowskie kontroli nad przekazywaniem danych osobowych do państw trzecich. Rozdział ten ustanawia system uzupełniający w stosunku do systemu ogólnego, ustanowionego w rozdziale II wspomnianej dyrektywy, dotyczącym legalności przetwarzania danych.

64      Cel rozdziału IV został określony w motywach 56–60 dyrektywy 95/46, które stanowią między innymi, że ochrona osób, jaką ta dyrektywa gwarantuje we Wspólnocie, nie stanowi przeszkody dla przekazywania danych osobowych do państw trzecich, które zapewniają odpowiedni stopień ochrony, a prawidłowość stopnia ochrony danych zapewnianej przez państwo trzecie należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazywania danych lub zestawu takich operacji. Należy zakazać przekazywania danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony.

65      Artykuł 25 dyrektywy 95/46 nakłada z kolei na państwa członkowskie i Komisję szereg obowiązków związanych z kontrolowaniem przekazywania danych osobowych do państw trzecich z uwzględnieniem stopnia ochrony tych danych zapewnionego w każdym z tych państw.

66      W szczególności art. 25 ust. 4 dyrektywy 95/46 przewiduje, że jeżeli Komisja stwierdzi, iż państwo trzecie nie zapewnia odpowiedniego stopnia ochrony, państwa członkowskie podejmą konieczne środki, aby nie dopuścić do przekazania jakichkolwiek danych osobowych do wspomnianego państwa.

67      Rozdział IV dyrektywy 95/46 nie zawiera żadnych przepisów dotyczących korzystania z Internetu. W szczególności nie określa kryteriów pozwalających ustalić, czy w przypadku operacji wykonywanych za pośrednictwem dostawców usług hostingowych za miejsce ich przeprowadzenia należy przyjąć miejsce wykonywania działalności gospodarczej przez dostawcę lub jego siedzibę, czy też miejsce albo miejsca, w których znajdują się komputery stanowiące infrastrukturę informatyczną dostawcy.

68      Jeśli uwzględnić z jednej strony stan rozwoju Internetu w okresie trwania prac nad dyrektywą 95/46 i z drugiej strony brak określenia w jej rozdziale IV kryteriów mających zastosowanie do korzystania z Internetu, to nie można przypisać prawodawcy wspólnotowemu zamiaru objęcia w przyszłości pojęciem przekazywania danych do państw trzecich faktu zamieszczenia przez osobę znajdującą się w sytuacji B. Lindqvist danych na stronie internetowej, nawet jeżeli stały się one w ten sposób dostępne dla osób znajdujących się w państwach trzecich i posiadających środki techniczne pozwalające na dostęp do nich.

69      Gdyby art. 25 dyrektywy 95/46 należało interpretować w ten sposób, że „przekazywanie danych do państw trzecich” ma miejsce w każdym przypadku, w którym dane osobowe zostały umieszczone na stronie internetowej, to przekazywanie stanowiłoby w sposób konieczny przekazywanie do wszystkich państw trzecich, w których istnieją środki techniczne niezbędne do uzyskania dostępu do Internetu. Szczególny system przewidziany przez rozdział IV wspomnianej dyrektywy stałby się nieuchronnie – w odniesieniu do operacji w Internecie – systemem ogólnym. W rezultacie, gdyby Komisja stwierdziła na podstawie art. 25 ust. 4 dyrektywy 95/46, że tylko jedno państwo trzecie nie zapewnia odpowiedniego stopnia ochrony, państwa członkowskie byłyby zobowiązane uniemożliwić jakiekolwiek zamieszczanie danych osobowych w Internecie.

70      W tych okolicznościach nasuwa się wniosek, zgodnie z którym art. 25 dyrektywy 95/46 należy interpretować w ten sposób, że operacje takie jak te wykonane przez B. Lindqvist nie stanowią same w sobie „przekazywania danych do państw trzecich”. Nie ma zatem potrzeby ustalać, czy osoba z państwa trzeciego miała dostęp do danej strony internetowej lub czy serwer danego dostawcy znajduje się fizycznie w państwie trzecim.

71      Na pytanie piąte należy zatem odpowiedzieć, że „przekazywanie danych do państw trzecich” w rozumieniu art. 25 dyrektywy 95/46 nie ma miejsca, w przypadku gdy osoba, która znajduje się w jednym z państw członkowskich, zamieszcza na stronie internetowej, przechowywanej przez dostawcę usług hostingowych mającego swoją siedzibę w tym samym państwie lub w innym państwie członkowskim, dane osobowe, czyniąc je w ten sposób dostępnymi dla każdego, kto połączy się z Internetem, w tym również dla osób, które znajdują się w państwie trzecim.

 W przedmiocie szóstego pytania

72      W szóstym pytaniu sąd krajowy dąży do ustalenia, czy w takim przypadku jak rozpatrywany w postępowaniu przed sądem krajowym należy przyjąć, że przepisy dyrektywy 95/46 zawierają ograniczenie niezgodne z ogólną zasadą swobody wypowiedzi lub z innymi prawami i swobodami obowiązującymi w Unii Europejskiej, które odpowiadają w szczególności prawu przewidzianemu w art. 10 EKPC.

 Uwagi przedłożone Trybunałowi

73      Powołując się między innymi na wyrok z dnia 6 marca 2001 r. w sprawie C‑274/99 P Connolly przeciwko Komisji, Rec. s. I‑1611, B. Lindqvist podnosi, że dyrektywa 95/46 i PUL – w zakresie, w jakim przewidują warunek uprzedniego uzyskania zgody i uprzedniego poinformowania organu nadzoru oraz zasadę zakazu przetwarzania wrażliwych danych osobowych – są sprzeczne z uznaną w prawie wspólnotowym ogólną zasadą swobody wypowiedzi. W szczególności podnosi ona, że definicja wyrażenia „przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany” nie spełnia kryteriów przewidywalności i precyzji.

74      Ponadto jej zdaniem zwykłe wymienienie z nazwiska osoby fizycznej, ujawnienie jej numeru telefonu i podanie informacji na temat jej warunków pracy oraz jej stanu zdrowia i sposobów spędzania wolnego czasu – informacji, które są publiczne, powszechnie znane lub banalne, nie wyczerpuje znamion istotnego naruszenia prawa do poszanowania życia prywatnego. B. Lindqvist podnosi, że w każdym stanie rzeczy ograniczenia wprowadzone przez dyrektywę 95/46 są dysproporcjonalne względem celu, jakim jest zapewnienie ochrony dobrego imienia i życia prywatnego innych osób.

75      Rząd szwedzki podnosi, że dyrektywa 95/46 pozwala wyważyć przedmiotowe interesy i w ten sposób zapewnić ochronę swobody wypowiedzi i ochronę życia prywatnego. Dodaje, że wyłącznie sąd krajowy może, uwzględniając okoliczności właściwe dla każdej sprawy, ocenić proporcjonalność ograniczenia wykonywania prawa do korzystania ze swobody wypowiedzi, jaką wprowadza zastosowanie reguł mających na celu ochronę praw innych osób.

76      Rząd niderlandzki przypomina, że zarówno swoboda wypowiedzi, jak i prawo do poszanowania życia prywatnego stanowią część ogólnych zasad prawa, których przestrzeganie zapewnia Trybunał, i że EKPC nie ustala żadnej hierarchii pomiędzy poszczególnymi prawami podstawowymi. Rząd ten uważa tym samym, że sąd krajowy, uwzględniając okoliczności tej konkretnej sprawy, powinien starać się pogodzić te poszczególne prawa podstawowe.

77      Rząd Zjednoczonego Królestwa zauważa, że przedstawiona przez niego w pkt 55 niniejszego wyroku propozycja odpowiedzi na pytanie piąte jest całkowicie zgodna z ochroną praw podstawowych i pozwala uniknąć nadmiernego ograniczania swobody wypowiedzi. Dodaje, że wykładnia, na skutek której opublikowanie danych osobowych w szczególnej formie, a mianowicie na stronie internetowej, podlegałoby ograniczeniom znacznie surowszym niż ograniczenia mające zastosowanie do ich opublikowania w innej formie, takiej jak forma papierowa, byłaby trudna do uzasadnienia.

78      Również Komisja twierdzi, że dyrektywa 95/46 nie wprowadza ograniczenia sprzecznego z ogólną zasadą swobody wypowiedzi lub z innymi prawami i swobodami obowiązującymi w ramach Unii Europejskiej, które odpowiadają w szczególności prawu przewidzianemu w art. 10 EKPC.

 Odpowiedź Trybunału

79      Z motywu 7 dyrektywy 95/46 wynika, że ustanowienie i funkcjonowanie rynku wewnętrznego może zostać poważnie zakłócone przez różnice istniejące pomiędzy krajowymi systemami mającymi zastosowanie do przetwarzania danych osobowych. Jak wynika z motywu 3 tej dyrektywy, celem zbliżenia krajowych systemów powinno być nie tylko zapewnienie swobodnego przepływu danych osobowych z jednego państwa członkowskiego do drugiego, lecz również ochrona praw podstawowych osób fizycznych. Oczywiście cele te mogą ze sobą kolidować.

80      Z jednej strony integracja gospodarcza i społeczna wynikająca z ustanowienia i funkcjonowania rynku wewnętrznego pociągnie za sobą w sposób konieczny znaczący wzrost przepływu danych osobowych pomiędzy wszystkimi podmiotami życia gospodarczego i społecznego państw członkowskich, czy to przedsiębiorstwami, czy też władzami administracyjnymi tych państw. W pewnej mierze podmioty te muszą dysponować danymi osobowymi w celu przeprowadzenia transakcji lub wypełniania swoich zadań w ramach przestrzeni bez granic, jaką stanowi rynek wewnętrzny.

81      Z drugiej strony osoby, których dotyczy przetwarzanie danych osobowych, słusznie domagają się, by te dane były skutecznie chronione.

82      Mechanizmy pozwalające na znalezienie odpowiedniej równowagi między tymi poszczególnymi prawami i interesami są zawarte z jednej strony w samej dyrektywie 95/46 – w zakresie, w jakim przewiduje ona zasady określające, w jakich sytuacjach i w jakich granicach przetwarzanie danych osobowych jest dozwolone oraz jakie gwarancje winny być przewidziane. Z drugiej strony mechanizmy te wynikają z ustanowienia przez państwa członkowskie przepisów krajowych zapewniających transpozycję tej dyrektywy i z ich stosowania przez władze krajowe.

83      Co się tyczy samej dyrektywy 95/46, jej przepisy są niewątpliwie stosunkowo ogólne, zważywszy na fakt, że ma ona mieć zastosowanie do wielu bardzo różnych sytuacji. W przeciwieństwie do tego, co utrzymuje B. Lindqvist, dyrektywa zawiera zasady charakteryzujące się pewną elastycznością i w wielu przypadkach pozostawia państwom członkowskim określenie szczegółów lub wybór jednej z możliwości.

84      Prawdą jest, że przy transpozycji dyrektywy 95/46 państwa członkowskie korzystają w wielu przypadkach z marginesu swobody. Jednakże nic nie pozwala uznać, że przewidziany przez tę dyrektywę system zakłada brak przewidywalności lub że jej przepisy, jako takie, są sprzeczne z ogólnymi zasadami prawa wspólnotowego, a w szczególności z prawami podstawowymi chronionymi przez wspólnotowy porządek prawny.

85      Tak więc to raczej na etapie przyjmowania ustawodawstwa dokonującego transpozycji dyrektywy 95/46 w odniesieniu do szczególnych przypadków należy szukać właściwej równowagi między chronionymi prawami a celami, jakie mają być zrealizowane.

86      W tym kontekście prawa podstawowe mają szczególne znaczenie, na co wskazuje sprawa w postępowaniu przed sądem krajowym, w przypadku której należy znaleźć odpowiednią równowagę między z jednej strony przysługującą B. Lindqvist w ramach jej pracy jako katechetki swobodą wypowiedzi i swobodą wykonywania działalności wzbogacającej życie religijne a z drugiej strony ochroną życia prywatnego osób, których dane B. Lindqvist zamieściła na stworzonej przez siebie stronie internetowej.

87      W konsekwencji władze publiczne i sądy państw członkowskich są zobowiązane nie tylko dokonywać wykładni prawa krajowego w zgodzie z dyrektywą 95/46, ale również dopilnować, by nie kierować się taką wykładnią tej dyrektywy, która kolidowałaby z prawami podstawowymi chronionymi przez wspólnotowy porządek prawny lub z innymi ogólnymi zasadami prawa wspólnotowego, takimi jak zasada proporcjonalności.

88      O ile prawdą jest, że ochrona życia prywatnego wymaga stosowania skutecznych sankcji w stosunku do osób przetwarzających dane osobowe w sposób niezgodny z dyrektywą 95/46, o tyle takie sankcje powinny zawsze przestrzegać zasady proporcjonalności, tym bardziej że zakres stosowania dyrektywy 95/46 jest bardzo szeroki, a na osobach przetwarzających dane osobowe ciążą liczne i poważne obowiązki.

89      W oparciu o zasadę proporcjonalności sąd krajowy powinien uwzględnić wszystkie okoliczności zawisłej przed nim sprawy, a w szczególności czas trwania naruszenia przepisów wykonujących dyrektywę 95/46 oraz znaczenie, jakie ma dla zainteresowanych osób ochrona rozpowszechnionych danych osobowych.

90      Na pytanie szóste należy zatem odpowiedzieć, że przepisy dyrektywy 95/46 nie zawierają same w sobie ograniczeń sprzecznych z ogólną zasadą swobody wypowiedzi lub z innymi prawami i swobodami obowiązującymi w ramach Unii Europejskiej, które odpowiadają w szczególności art. 10 EKPC. Do władz publicznych i sądów państw członkowskich odpowiedzialnych za stosowanie przepisów krajowych dokonujących transpozycji dyrektywy 95/46 należy zapewnienie właściwej równowagi między wchodzącymi w grę prawami i interesami, w tym prawami podstawowymi chronionymi przez wspólnotowy porządek prawny.

 W przedmiocie pytania siódmego

91      W pytaniu siódmym sąd krajowy zmierza zasadniczo do ustalenia, czy państwa członkowskie mogą rozszerzyć ochronę danych osobowych lub zakres stosowania wynikający z dyrektywy 95/46.

 Uwagi przedłożone Trybunałowi

92      Rząd szwedzki twierdzi, że dyrektywa 95/46 nie ogranicza się do ustanowienia minimalnych wymagań w zakresie ochrony danych osobowych. W ramach transpozycji tej dyrektywy państwa członkowskie są zobowiązane osiągnąć stopień ochrony określony przez dyrektywę i nie są upoważnione do rozszerzenia lub zawężenia tej ochrony. Jednakże należy mieć wzgląd na swobodne uznanie, jakim dysponują państwa członkowskie w ramach dokonywania wspomnianej transpozycji przy określaniu w prawie krajowym ogólnych zasad legalności przetwarzania danych osobowych.

93      Rząd niderlandzki utrzymuje, że dyrektywa 95/46 nie sprzeciwia się rozszerzeniu ochrony przez państwa członkowskie w pewnych dziedzinach. Na przykład z art. 10, art. 11 ust. 1, art. 14 akapit pierwszy lit. a), art. 17 ust. 3, art. 18 ust. 5 i art. 19 ust. 1 tej dyrektywy wynika jego zdaniem, że państwa członkowskie mogą przewidzieć zwiększoną ochronę. Ponadto państwa członkowskie mogą również objąć zasadami dyrektywy 95/46 działania, które wykraczają poza zakres jej stosowania.

94      Komisja podnosi, że dyrektywa 95/46 opiera się na art. 100A traktatu oraz że jeżeli państwo członkowskie chce utrzymać lub ustanowić przepisy, które stanowią odstępstwo od takiej dyrektywy harmonizującej, na mocy art. 95 ust. 4 lub 5 WE zobowiązane jest notyfikować ten fakt Komisji. Wobec powyższego Komisja utrzymuje, że państwo członkowskie nie może rozszerzyć ochrony danych osobowych lub zakresu stosowania wynikających ze wspomnianej dyrektywy.

 Odpowiedź Trybunału

95      Dyrektywa 95/46 ma na celu, jak to wynika w szczególności z jej motywu 8, zrównanie stopnia ochrony praw i wolności jednostek w zakresie przetwarzania danych osobowych we wszystkich państwach członkowskich. W motywie 10 tej dyrektywy dodano, że zbliżanie ustawodawstw krajowych w tej dziedzinie nie powinno wpłynąć na zmniejszenie ochrony, jaką gwarantują, lecz przeciwnie, musi dążyć do zapewnienia jak najwyższego stopnia ochrony we Wspólnocie.

96      Harmonizacja wspomnianych ustawodawstw krajowych nie ogranicza się do minimalnego jej zakresu, lecz prowadzi do harmonizacji, która jest co do zasady pełna. To właśnie z tego punktu widzenia dyrektywa 95/46 ma zapewniać swobodny przepływ danych osobowych, gwarantując jednocześnie wysoki stopień ochrony praw i interesów osób, których dane te dotyczą.

97      Prawdą jest, że dyrektywa 95/46 pozostawia państwom członkowskim margines swobody w niektórych dziedzinach i pozwala im utrzymać lub wprowadzić szczególne systemy dla specyficznych przypadków, o czym świadczy duża liczba jej przepisów. Jednakże takie możliwości powinny być wykorzystane w sposób przewidziany w dyrektywie 95/46 i zgodnie z jej celem, jakim jest zapewnienie równowagi między swobodnym przepływem danych osobowych a ochroną życia prywatnego.

98      Natomiast nic nie stoi na przeszkodzie rozszerzeniu przez państwo członkowskie zakresu ustawodawstwa krajowego dokonującego transpozycji przepisów dyrektywy 95/46 na dziedziny nieobjęte zakresem jej stosowania, pod warunkiem że nie sprzeciwia się temu żaden przepis prawa wspólnotowego.

99      Zważywszy na powyższe, na pytanie siódme należy odpowiedzieć, że środki podejmowane przez państwa członkowskie w celu zapewnienia ochrony danych osobowych muszą być zgodne zarówno z przepisami dyrektywy 95/46, jak i z jej celem, jakim jest utrzymanie równowagi między swobodnym przepływem danych osobowych a ochroną życia prywatnego. Natomiast nic nie stoi na przeszkodzie rozszerzeniu przez państwo członkowskie zakresu ustawodawstwa krajowego dokonującego transpozycji przepisów dyrektywy 95/46 na dziedziny nieobjęte zakresem jej stosowania, pod warunkiem że nie sprzeciwia się temu żaden przepis prawa wspólnotowego.

 W przedmiocie kosztów

100    Koszty poniesione przez rządy szwedzki, niderlandzki i Zjednoczonego Królestwa oraz przez Komisję i Urząd Nadzoru EFTA w związku z przedstawieniem uwag Trybunałowi nie podlegają zwrotowi. Dla stron postępowania przed sądem krajowym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed tym sądem, do niego zatem należy rozstrzygnięcie o kosztach.

Z powyższych względów

TRYBUNAŁ,

stanowiąc w przedmiocie pytań przedłożonych mu przez Göta hovrätt postanowieniem z dnia 23 lutego 2001 r., orzeka, co następuje:

1)      Operacja polegająca na zamieszczeniu na stronie internetowej danych różnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków, np. numeru telefonu lub informacji dotyczących ich warunków pracy i sposobów spędzania przez nie wolnego czasu stanowi „przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany” w rozumieniu art. 3 ust. 1 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

2)      Takie przetwarzanie danych osobowych nie jest objęte żadnym z wyłączeń określonych w art. 3 ust. 2 dyrektywy 95/46.

3)      Informacja, że dana osoba doznała urazu stopy i przebywa na zwolnieniu lekarskim w niepełnym wymiarze, stanowi dane osobowe dotyczące zdrowia w rozumieniu art. 8 ust. 1 dyrektywy 95/46.

4)      „Przekazywanie danych do państw trzecich” w rozumieniu art. 25 dyrektywy 95/46 nie ma miejsca, w przypadku gdy osoba, która znajduje się w jednym z państw członkowskich, zamieszcza na stronie internetowej, przechowywanej przez dostawcę usług hostingowych mającego swoją siedzibę w tym samym państwie lub w innym państwie członkowskim, dane osobowe, czyniąc je w ten sposób dostępnymi dla każdego, kto połączy się z Internetem, w tym również dla osób, które znajdują się w państwie trzecim.

5)      Przepisy dyrektywy 95/46 nie zawierają same w sobie ograniczeń sprzecznych z ogólną zasadą swobody wypowiedzi lub z innymi prawami i swobodami obowiązującymi w ramach Unii Europejskiej, które odpowiadają w szczególności art. 10 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności, sporządzonej w Rzymie w dniu 4 listopada 1950 r. Do władz publicznych i sądów państw członkowskich odpowiedzialnych za stosowanie przepisów krajowych dokonujących transpozycji dyrektywy 95/46 należy zapewnienie właściwej równowagi między wchodzącymi w grę prawami i interesami, w tym prawami podstawowymi chronionymi przez wspólnotowy porządek prawny.

6)      Środki podejmowane przez państwa członkowskie w celu zapewnienia ochrony danych osobowych muszą być zgodne zarówno z przepisami dyrektywy 95/46, jak i z jej celem, jakim jest utrzymanie równowagi między swobodnym przepływem danych osobowych a ochroną życia prywatnego. Natomiast nic nie stoi na przeszkodzie rozszerzeniu przez państwo członkowskie zakresu ustawodawstwa krajowego dokonującego transpozycji przepisów dyrektywy 95/46 na dziedziny nieobjęte zakresem jej stosowania, pod warunkiem że nie sprzeciwia się temu żaden przepis prawa wspólnotowego.

Jann

Timmermans

Gulmann

Cunha Rodrigues

Rosas

Edward

Puissochet

Macken

von Bahr

Wyrok ogłoszono na posiedzeniu jawnym w Luksemburgu w dniu 6 listopada 2003 r.

Sekretarz

 

       Prezes

R. Grass

 

       V. Skouris


* Język postępowania: szwedzki.