WYROK TRYBUNAŁU (szósta izba)
z dnia 7 marca 2024 r.(*)
Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuły 2, 4, 6, 10 i 86 – Znajdujące się w posiadaniu sądu dane dotyczące wyroków skazujących osobę fizyczną – Ustne ujawnienie takich danych spółce handlowej ze względu na organizowany przez nią konkurs – Pojęcie przetwarzania danych osobowych – Przepisy krajowe regulujące dostęp do takich danych – Pogodzenie przysługującego opinii publicznej prawa do dostępu do dokumentów urzędowych z wymogiem ochrony danych osobowych
W sprawie C‑740/22
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Itä‑Suomen hovioikeus (sąd apelacyjny Finlandii Wschodniej, Finlandia) postanowieniem z dnia 30 listopada 2022 r., które wpłynęło do Trybunału w dniu 2 grudnia 2022 r., w postępowaniu:
Endemol Shine Finland Oy,
TRYBUNAŁ (szósta izba),
w składzie: T. von Danwitz (sprawozdawca), prezes izby, P.G. Xuereb i I. Ziemele, sędziowie,
rzecznik generalny: T. Ćapeta,
sekretarz: A. Calot Escobar,
uwzględniając pisemny etap postępowania,
rozważywszy uwagi, które przedstawili:
– w imieniu rządu finlandzkiego – A. Laine oraz M. Pere, w charakterze pełnomocników,
– w imieniu rządu portugalskiego – P. Barros da Costa, J. Ramos oraz C. Vieira Guerra, w charakterze pełnomocników,
– w imieniu Komisji Europejskiej – A. Bouchagiar, H. Kranenborg oraz I. Söderlund, w charakterze pełnomocników,
podjąwszy, po wysłuchaniu rzecznik generalnej, decyzję o rozstrzygnięciu sprawy bez opinii,
wydaje następujący
Wyrok
1 Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 2 ust. 1, art. 4 pkt 2 i art. 86 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1; zwanego dalej „RODO”).
2 Wniosek ten został przedstawiony w ramach postępowania dotyczącego odmowy przez sąd krajowy ujawnienia Endemol Shine Finland Oy danych dotyczących wyroków skazujących osobę trzecią.
Ramy prawne
Prawo Unii
3 Motywy 4, 10, 11, 15, 19 i 154 RODO mają następujące brzmienie:
„(4) Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności. Niniejsze rozporządzenie nie narusza praw podstawowych, wolności i zasad uznanych w Karcie praw podstawowych [(zwanej dalej »Kartą«)] – zapisanych w traktatach – w szczególności prawa do poszanowania życia prywatnego i rodzinnego […], ochrony danych osobowych, wolności myśli, sumienia i religii, wolności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej, prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu […].
[…]
(10) Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii [Europejskiej], należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. Jeżeli chodzi o przetwarzanie danych osobowych w celu wypełnienia obowiązku prawnego, w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi państwa członkowskie powinny móc zachować lub wprowadzić krajowe przepisy doprecyzowujące stosowanie przepisów niniejszego rozporządzenia. Obok ogólnego, horyzontalnego prawa o ochronie danych wdrażającego dyrektywę 95/46/WE [Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 1)] państwa członkowskie przyjęły uregulowania sektorowe w dziedzinach wymagających przepisów bardziej szczegółowych. Niniejsze rozporządzenie umożliwia też państwom członkowskim doprecyzowanie jego przepisów, w tym w odniesieniu do przetwarzania szczególnych kategorii danych osobowych (zwanych dalej »danymi wrażliwymi«). W tym względzie niniejsze rozporządzenie nie wyklucza możliwości określenia w prawie państwa członkowskiego okoliczności dotyczących konkretnych sytuacji związanych z przetwarzaniem danych, w tym dookreślenia warunków, które decydują o zgodności przetwarzania z prawem.
(11) Aby ochrona danych osobowych w Unii była skuteczna, należy wzmocnić i doprecyzować prawa osób, których dane dotyczą, oraz obowiązki podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu, jak również zapewnić równorzędne uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych oraz równorzędne kary za naruszenia tych przepisów w państwach członkowskich.
[…]
(15) Aby zapobiec poważnemu ryzyku obchodzenia prawa, ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik. Ochrona osób fizycznych powinna mieć zastosowanie do zautomatyzowanego przetwarzania danych osobowych oraz do przetwarzania ręcznego, jeżeli dane osobowe znajdują się lub mają się znaleźć w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są uporządkowane według określonych kryteriów, nie powinny być objęte zakresem niniejszego rozporządzenia.
[…]
(19) Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy w ramach zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania lub ścigania czynów zabronionych lub wykonywania kar, w tym w celu ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, oraz swobodny przepływ takich danych podlegają szczególnemu aktowi prawnemu Unii. Niniejsze rozporządzenie nie powinno zatem mieć zastosowania do czynności przetwarzania w tych celach. Jeżeli jednak dane osobowe przetwarzane przez organy publiczne na mocy niniejszego rozporządzenia są wykorzystywane do tych celów, dane te powinny podlegać szczególnemu aktowi prawnemu Unii, mianowicie dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/680 [z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89)]. Państwa członkowskie mogą powierzyć właściwym organom w rozumieniu dyrektywy (UE) 2016/680 zadania – które niekoniecznie służą zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu lub ściganiu czynów zabronionych lub też wykonywaniu kar, w tym ochronie przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganiu takim zagrożeniom – tak by przetwarzanie danych osobowych do tych innych celów, o ile objęte jest zakresem prawa Unii, wchodziło w zakres zastosowania niniejszego rozporządzenia.
Jeżeli chodzi o przetwarzanie danych osobowych przez te właściwe organy do celów wchodzących w zakres niniejszego rozporządzenia, państwa członkowskie powinny mieć możliwość zachowania lub wprowadzenia przepisów szczególnych dostosowujących stosowanie przepisów niniejszego rozporządzenia. W takich przepisach możliwe jest doprecyzowanie szczególnych wymogów przetwarzania danych przez te właściwe organy do tych innych celów, z uwzględnieniem konstytucyjnych, organizacyjnych i administracyjnych struktur danego państwa członkowskiego. Jeżeli przetwarzanie danych osobowych przez podmioty prywatne objęte jest zakresem stosowania niniejszego rozporządzenia, niniejsze rozporządzenie powinno na określonych warunkach umożliwiać państwom członkowskim ograniczenie w swoich przepisach niektórych obowiązków i praw, o ile takie ograniczenie stanowi w demokratycznym społeczeństwie niezbędny i proporcjonalny środek chroniący określone, ważne interesy, w tym bezpieczeństwo publiczne oraz zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie czynów zabronionych lub też wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom. Jest to istotne na przykład w związku z przeciwdziałaniem praniu pieniędzy lub w [związku z] działalności[ą] laboratoriów kryminalistycznych.
[…]
(154) Niniejsze rozporządzenie pozwala uwzględnić przy stosowaniu jego przepisów zasadę publicznego dostępu do dokumentów urzędowych. Publiczny dostęp do dokumentów urzędowych można uznać za interes publiczny. Organ publiczny lub podmiot publiczny powinny móc publicznie ujawniać dane osobowe z dokumentów przez siebie przechowywanych, jeżeli takie ujawnienie jest przewidziane przepisami prawa Unii lub prawa państwa członkowskiego, któremu organ ten lub podmiot podlegają. Przepisy takie powinny godzić publiczny dostęp do dokumentów urzędowych i ponowne wykorzystywanie informacji sektora publicznego z prawem do ochrony danych osobowych i dlatego mogą przewidywać niezbędne uwzględnienie prawa do ochrony danych osobowych na podstawie niniejszego rozporządzenia. Wzmianka o organach i podmiotach publicznych powinna w tym kontekście dotyczyć wszystkich organów lub innych podmiotów objętych prawem państwa członkowskiego dotyczącym publicznego dostępu do dokumentów. Dyrektywa […] 2003/98/WE [Parlamentu Europejskiego i Rady z dnia 17 listopada 2003 r. w sprawie ponownego wykorzystywania informacji sektora publicznego (Dz.U. 2003, L 345, s. 90)] nie narusza ani w żaden sposób nie wpływa na stopień ochrony osób fizycznych w związku z przetwarzaniem danych osobowych wynikający z przepisów prawa Unii i prawa państwa członkowskiego, a w szczególności nie zmienia obowiązków i praw przewidzianych w niniejszym rozporządzeniu. Dyrektywa ta nie powinna mieć zastosowania w szczególności do dokumentów, do których – w ramach systemów dostępu – dostęp jest wykluczony lub ograniczony z powodu ochrony danych osobowych, ani do fragmentów dokumentów dostępnych w ramach tych systemów, ale zawierających dane osobowe, których ponowne wykorzystanie zostało określone w prawie jako niezgodne z prawem o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych”.
4 Artykuł 2 RODO, zatytułowany „Materialny zakres stosowania”, stanowi:
„1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
2. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:
a) w ramach działalności nieobjętej zakresem prawa Unii;
b) przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 TUE;
c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
3. Do przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii zastosowanie ma rozporządzenie (WE) nr 45/2001 [Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. 2001, L 8, s. 1)]. Rozporządzenie (WE) nr 45/2001 oraz inne unijne akty prawne mające zastosowanie do takiego przetwarzania danych osobowych zostają dostosowane do zasad i przepisów niniejszego rozporządzenia zgodnie z art. 98.
4. Niniejsze rozporządzenie pozostaje bez uszczerbku dla stosowania dyrektywy 2000/31/WE [Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) (Dz.U. 2000, L 178, s. 1)], w szczególności dla zasad odpowiedzialności usługodawców będących pośrednikami, o których to zasadach mowa w art. 12–15 tej dyrektywy”.
5 Artykuł 4 RODO, zatytułowany „Definicje”, przewiduje w pkt 1, 2, 6 i 7:
„Na użytek niniejszego rozporządzenia:
1) »dane osobowe« oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
2) »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
[…]
6) »zbiór danych« oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
7) »administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania”.
6 Artykuł 5 tego rozporządzenia, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, ma następujące brzmienie:
„1. Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; […] (»ograniczenie celu«);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«);
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (»prawidłowość«);
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; […] (»ograniczenie przechowywania«);
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (»integralność i poufność«);
[…]”.
7 Artykuł 6 tego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, stanowi w ust. 1–3:
„1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
2. Państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w ust. 1 lit. c) i e); w tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX.
3. Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:
a) w prawie Unii; lub
b) w prawie państwa członkowskiego, któremu podlega administrator.
Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu”.
8 Artykuł 10 RODO, zatytułowany „Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa”, stanowi:
„Przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych”.
9 Artykuł 23 tego rozporządzenia, zatytułowany „Ograniczenia”, ma następujące brzmienie:
„1. Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:
[…]
f) ochronie niezależności sądów i postępowania sądowego;
[…]”.
10 Artykuł 85 RODO, zatytułowany „Przetwarzanie a wolność wypowiedzi i informacji”, stanowi w ust. 1:
„Państwa członkowskie przyjmują przepisy pozwalające pogodzić prawo do ochrony danych osobowych na mocy niniejszego rozporządzenia z wolnością wypowiedzi i informacji, w tym do przetwarzania dla potrzeb dziennikarskich oraz do celów wypowiedzi akademickiej, artystycznej lub literackiej”.
11 Artykuł 86 tego rozporządzenia, zatytułowany „Przetwarzanie a publiczny dostęp do dokumentów urzędowych”, przewiduje:
„Dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia”.
Prawo finlandzkie
Ustawa dotycząca ochrony danych osobowych (1050/2018)
12 Tietosuojalaki (1050/2018) [ustawa dotycząca ochrony danych osobowych (1050/2018)] w swym § 1 stanowi:
„Niniejsza ustawa doprecyzowuje i uzupełnia przepisy RODO oraz zasady ich wdrożenia na poziomie krajowym”.
13 Paragraf 28 tej ustawy ma następujące brzmienie:
„Do prawa do otrzymania danych z rejestru osobowego organu oraz do innego ujawniania danych osobowych z rejestru osobowego organu stosuje się przepisy o jawności działalności organów”.
Ustawa o jawności działalności organów władzy publicznej (621/1999)
14 Laki viranomaisten toiminnan julkisuudesta (621/1999) [ustawa o jawności działalności organów władzy publicznej (621/1999)] w § 13 stanowi:
„Wniosek o ujawnienie informacji dotyczących treści akt należy w wystarczającym stopniu skonkretyzować w ten sposób, by organ mógł ustalić, jakiego dokumentu dotyczy wniosek. Organ, do którego skierowano wniosek o udzielenie informacji zapewnia w drodze rejestrów i repertoriów wsparcie podmiotowi, który wystąpił z tym wnioskiem przy identyfikacji dokumentu. Podmiot występujący z wnioskiem o udzielenie informacji nie musi ani ujawniać swojej tożsamości, ani uzasadniać wniosku, chyba że jest to konieczne, aby organ mógł skorzystać z przysługującego mu uznania lub w celu ustalenia, czy wnioskodawca ma prawo do informacji o treści akt.
O ile przepisy szczególne nie stanowią inaczej, wnioskodawca, który wnosi o udostępnienie informacji z akt wymagających zachowania poufności, rejestru osobowego organu lub innych akt, z których można udzielać informacji jedynie przy spełnieniu określonych przesłanek, musi podać cel wykorzystania informacji oraz poinformować o pozostałych okolicznościach, które są konieczne do ustalenia spełnienia przesłanki ujawnienia informacji, a także – jeżeli jest to niezbędne – o tym, w jaki sposób ma zostać zagwarantowana ochrona informacji”.
15 Paragraf 16 tej ustawy stanowi:
„Dostępu do treści akt udziela się ustnie lub w ten sposób, że akta udostępnia się w siedzibie organu do wglądu czy też w celu sporządzenia odpisu lub odsłuchania lub też poprzez udostępnienie ich kopii lub wydruku. Informacji o jawnej treści dokumentu udziela się w sposób, którego życzy sobie wnioskodawca, jeżeli nie wiąże się to z nadmiernym utrudnieniem wykonywania przez urząd swojej działalności ze względu na dużą liczbę dokumentów lub trudności z powielaniem lub z innego porównywalnego powodu.
[…]
Dane osobowe z rejestru osobowego organu, o ile zawarte w ustawie przepisy szczególne nie stanowią inaczej, można ujawniać w postaci kopii lub wydruku lub też w formie elektronicznej, jeżeli odbiorca w świetle przepisów o ochronie danych osobowych jest uprawniony do tego, by zatrzymywać i wykorzystywać tego rodzaju dane osobowe. Niemniej jednak dane osobowe mogą być ujawniane do celów marketingu bezpośredniego lub też badania opinii publicznej czy też rynku jedynie wówczas, gdy zostało to wyraźnie przewidziane lub też osoba, której te dane dotyczą, wyraziła na to zgodę.
[…]”.
Ustawa o jawności postępowań sądowych przed sądami powszechnymi (370/2007)
16 Zgodnie z brzmieniem § 1 Laki oikeudenkäynnin julkisuudesta yleisissä tuomioistuimissa (370/2007) [ustawy o jawności postępowań sądowych przed sądami powszechnymi (370/2007)]:
„Postępowania i akta sądowe są jawne, o ile niniejsza ustawa lub inna ustawa nie stanowi inaczej”.
Ustawa o przetwarzaniu danych osobowych w sprawach karnych i w związku z utrzymaniem bezpieczeństwa narodowego (1054/2018)
17 W myśl § 1 ust. 1 Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018) [ustawy o przetwarzaniu danych osobowych w sprawach karnych i w związku z utrzymaniem bezpieczeństwa narodowego (1054/2018)] właściwe organy stosują tę ustawę przy przetwarzaniu danych osobowych między innymi w wypadku toczącego się przed sądem postępowania karnego. Zgodnie z jej § 1 ust. 4 ustawa ta znajduje jednak zastosowanie jedynie do takiego przetwarzania danych osobowych w rozumieniu ust. 1, które ma miejsce w sposób całkowicie albo częściowo zautomatyzowany lub w wypadku którego dane podlegające przetworzeniu stanowią lub mają zbiór danych lub jego część.
18 Zgodnie z brzmieniem § 2 ust. 2 tej ustawy:
„Do prawa do otrzymania danych z rejestru osobowego organu oraz do innego ujawniania danych osobowych z rejestru osobowego organu stosuje się przepisy o jawności działalności organów”.
Postępowanie główne i pytania prejudycjalne
19 Endemol Shine Finland, wnosząca odwołanie przed sądem odsyłającym, zwróciła się ustnie do Etelä‑Savon käräjäoikeus (sądu pierwszej instancji dla Sawonii Południowej, Finlandia) o informacje o ewentualnych toczących się czy też zakończonych postępowaniach karnych przeciwko określonej osobie fizycznej uczestniczącej w organizowanym przez to przedsiębiorstwo konkursie, aby wyjaśnić kwestię karalności tej osoby.
20 Etelä‑Savon käräjäoikeus (sąd pierwszej instancji dla Sawonii Południowej, Finlandia) nie uwzględnił tego wniosku, uznając, że dotyczy on jawnych orzeczeń lub informacji w rozumieniu ustawy o jawności postępowań przed sądami powszechnymi. Zdaniem tego sądu powołane przez wnoszącą odwołanie przed sądem odsyłającym uzasadnienie odnosi się jedynie do przetwarzania danych dotyczących wyroków karnych lub czynów zabronionych, o którym mowa w § 7 ustawy o ochronie danych osobowych. Przeszukanie systemów informatycznych tego sądu stanowiłoby jego zdaniem przetwarzanie danych osobowych, z którego to powodu informacji, o które wnioskowano, nie wolno było przekazać także ustnie.
21 Endemol Shine Finland wniosła odwołanie do sądu odsyłającego Itä‑Suomen hovioikeus (sąd apelacyjny Finlandii Wschodniej, Finlandia), podnosząc, że ustne ujawnienie żądanych informacji nie stanowi przetwarzania danych osobowych w rozumieniu art.. 4 ust. 2 RODO.
22 Sąd odsyłający zastanawia się nad kwestią tego, czy wykładni art. 2 ust. 1 i art. 4 pkt 2 RODO powinno się dokonywać w ten sposób, że ustne ujawnienie informacji o ewentualnych toczących się lub zakończonych postępowaniach karnych przeciwko określonej osobie fizycznej stanowi przetwarzanie danych osobowych w rozumieniu tego rozporządzenia. W tym względzie sąd odsyłający podnosi, że przetwarzanie danych osobowych przez finlandzkie organy władzy publicznej zostało uregulowane w ustawie o ochronie danych osobowych. Niemniej jednak ograniczenia wiążące się zwykle z przetwarzaniem takich danych nie mają zastosowania ze względu na publiczny charakter znajdujących się w posiadaniu tych władz danych, jak również w oparciu o § 28 tej ustawy oraz § 2 ust. 2 ustawy o przetwarzaniu danych osobowych w sprawach karnych i w związku z utrzymaniem bezpieczeństwa narodowego (1054/2018).
23 Aby pogodzić ochronę danych osobowych z przysługującym opinii publicznej prawem do dostępu do informacji w § 16 ustawy o jawności działalności organów władzy publicznej (621/1999) ograniczona została możliwość ujawniania danych osobowych pochodzących ze zbiorów danych znajdujących się w posiadaniu organu władzy publicznej, w postaci kopii lub wydruku lub też w formie elektronicznej. Niemniej jednak, biorąc pod uwagę, że zdaniem sądu ten paragraf nie ma zastosowania do ustnego ujawniania danych osobowych pochodzących z dotyczących osób zbiorów danych znajdujących się w posiadaniu organu władzy publicznej, należy zadać sobie pytanie w przedmiocie kwestii tego, w jaki sposób zapewnić takie pogodzenie ochrony danych osobowych z przysługującym opinii publicznej prawem do dostępu do informacji i wziąć pod uwagę ważne względy dotyczące danych osobowych, w sytuacji gdy takie znajdujące się w będących w posiadaniu organów władz publicznych zbiorach dane osobowe są ujawniane ustnie.
24 W tych okolicznościach Itä‑Suomen hallinto‑oikeus (sąd apelacyjny Finlandii Wschodniej, Finlandia) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1. Czy ustne ujawnianie danych osobowych stanowi przetwarzanie danych osobowych w rozumieniu art. 2 ust. 1 i art. 4 pkt 2 [RODO]?
2. Czy przysługujące opinii publicznej prawo do dostępu do dokumentów urzędowych można pogodzić w rozumieniu art. 86 [RODO] z prawem do ochrony danych osobowych w ten sposób, że informacje z sądowego rejestru osobowego o wyrokach karnych lub o czynach zabronionych popełnionych przez daną osobę fizyczną są dostępne bez ograniczeń, jeżeli wnioskodawca wnosi o ujawnienie mu tych informacji ustnie?
3. Czy dla odpowiedzi na pytanie drugie ma znaczenie okoliczność, czy wnioskodawcą jest spółka, czy osoba prywatna?”.
W przedmiocie pytań prejudycjalnych
W przedmiocie pytania pierwszego
25 Sąd odsyłający rozważa to, czy wykładni art. 2 ust. 1 i art. 4 pkt 2 RODO powinno się dokonywać w ten sposób, że ustne ujawnienie informacji o ewentualnych toczących się lub zakończonych postępowaniach karnych przeciwko określonej osobie fizycznej stanowi przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 tego rozporządzenia, a jeśli tak, to czy takie przetwarzanie wchodzi w przedmiotowy zakres zastosowania tego rozporządzenia, który został zdefiniowany w jego art. 2 ust. 1.
26 Na wstępie należy z jednej strony przypomnieć, że wykładnia przepisu prawa Unii wymaga uwzględnienia nie tylko jego brzmienia, ale także kontekstu, w jaki się on wpisuje, oraz celów realizowanych przez akt, którego jest on częścią [wyrok z dnia 12 stycznia 2023 r., Österreichische Post (Informacje odnoszące się do odbiorców danych osobowych), C‑154/21, EU:C:2023:3, pkt 29].
27 Z drugiej strony należy podkreślić, że w postępowaniu głównym nie jest kwestionowane to, że informacje, o których przekazanie wnosi wnosząca odwołanie przed sądem odsyłającym, stanowią dane osobowe w rozumieniu art. 4 ust. 1 RODO.
28 W art. 4 pkt 2 RODO zdefiniowano pojęcie „przetwarzania” jako „[każdą] operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany […]”.
29 W szczególności z wyrażenia „[każda] operacja” wynika, że prawodawca Unii zamierzał ująć pojęcie „przetwarzania” w szerokiej perspektywie, za czym przemawia niewyczerpujący charakter zawartego w tym przepisie wyliczenia tych operacji, wyrażony poprzez użycie sformułowania „taką jak” [zob. podobnie wyroki: z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych do celów podatkowych), C‑175/20, EU:C:2022:124, pkt 35; z dnia 22 czerwca 2023 r., Pankki S, C‑579/21, EU:C:2023:501, pkt 46].
30 W wyliczeniu tym ujęte zostało między innymi ujawnianie poprzez przesłanie, rozpowszechnianie lub „innego rodzaju udostępnianie”, które to operacje mogą być wykonywane w sposób zautomatyzowany lub nie. W tym względzie w art. 4 pkt 2 RODO nie ustanowiono żadnego warunku co do formy, jaką miałoby mieć przetwarzanie „w sposób niezautomatyzowany”. Pojęcie „przetwarzania” obejmuje zatem ustne ujawnianie danych.
31 Za przyjęciem takiej wykładni pojęcia „przetwarzania” przemawia cel RODO, którym jest w szczególności – jak wynika z jego art. 1 oraz motywów 1 i 10 – zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do prywatności w zakresie przetwarzania danych osobowych, usankcjonowanego w art. 8 ust. 1 Karty i w art. 16 ust. 1 TFUE [zob. podobnie wyrok z dnia 4 maja 2023 r., Bundesrepublik Deutschland (Skrzynka doręczeń elektronicznych w sprawach sądowych), C‑60/22, EU:C:2023:373, pkt 64]. Możliwość obejścia stosowania tego rozporządzenia poprzez ustne ujawnienie danych osobowych zamiast dokonania tego na piśmie byłaby bowiem ewidentnie niezgodna z tym celem.
32 W tych okolicznościach pojęcie „przetwarzania”, o którym mowa w art. 4 pkt 2 RODO, obejmuje siłą rzeczy ustne ujawnianie danych osobowych.
33 Pozostaje jednak jeszcze pytanie, czy takie przetwarzanie wchodzi w przedmiotowy zakres stosowania RODO. Artykuł 2 tego rozporządzenia, który określa jego zakres obowiązywania, stanowi w ust. 1, że ma ono zastosowanie do przetwarzania „w sposób całkowicie lub częściowo zautomatyzowany” oraz do „przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych”.
34 W tym względzie z brzmienia tego przepisu oraz z motywu 15 tego rozporządzenia wynika, że dotyczy ono zarówno zautomatyzowanego, jak i ręcznego przetwarzania danych osobowych, aby nie uzależniać ochrony przyznawanej osobom, których dane są przetwarzane, od zastosowanych technik i uniknąć ryzyka obchodzenia wymogu tej ochrony. Jednakże z powyższych przepisów wynika również, że rozporządzenie to ma zastosowanie do ręcznego przetwarzania danych osobowych tylko w przypadku, gdy przetwarzane dane „stanowią […] część zbioru danych lub mają[…] stanowić część zbioru danych” (zob. analogicznie wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 53).
35 Ponieważ ustne przekazanie jako takie stanowi przetwarzanie niezautomatyzowane, więc do tego, aby przetwarzanie to było objęte przedmiotowym zakresem stosowania RODO, konieczne jest, aby dane będące jego przedmiotem „stanowiły” lub „miały stanowić” „część zbioru danych”.
36 W art. 4 pkt 6 RODO zdefiniowano „zbiór danych” jako „uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie”.
37 W tym względzie Trybunał orzekł już, że zgodnie z celem przypomnianym w pkt 34 niniejszego wyroku przepis ten definiuje w szeroki sposób pojęcie „zbioru danych”, w szczególności odnosząc się do „każdego” uporządkowanego zestawu danych osobowych. Ponadto wymóg, zgodnie z którym zestaw danych osobowych musi mieć charakter „zorganizowany według określonych kryteriów”, ma jedynie na celu umożliwienie, aby dane dotyczące osoby mogły zostać łatwo odnalezione. Poza tym wymogiem w art. 4 pkt 6 RODO nie przewidziano ani szczegółowych zasad, zgodnie z którymi dany zbiór miałby być zorganizowany, ani postaci, jaką miałby on przyjąć. W szczególności z przepisu tego ani z żadnego innego przepisu tego rozporządzenia nie wynika, że aby można było stwierdzić istnienie takiego zbioru w rozumieniu tego rozporządzenia, rozpatrywane dane osobowe powinny być ujęte w kartotekach lub szczególnych rejestrach, lub też w innym systemie służącym wyszukiwaniu (zob. analogicznie wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C‑25/17, EU:C:2018:551, pkt 56–58).
38 W niniejszej sprawie z wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika, że dane żądane przez wnoszącą odwołanie przed sądem odsyłającym są zawarte w „sądowym rejestrze osobowym”. Wydaje się zatem, że dane te są zawarte w zbiorze danych w rozumieniu art. 4 pkt 6 RODO, czego sprawdzenie należy jednak do sądu odsyłającego; bez znaczenia jest przy tym to, czy dane te są zawarte w elektronicznych bazach danych, czy też w aktach lub rejestrach fizycznych.
39 W tych okolicznościach na pytanie pierwsze należy odpowiedzieć, iż art. 2 ust. 1 i art. 4 pkt 2 RODO należy interpretować w ten sposób, że ustne ujawnienie informacji o ewentualnych toczących się lub zakończonych postępowaniach karnych przeciwko określonej osobie fizycznej stanowi przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 tego rozporządzenia, które, jeżeli informacje te stanowią lub mają stanowić część zbioru danych, wchodzi w przedmiotowy zakres zastosowania tego rozporządzenia.
W przedmiocie pytań drugiego i trzeciego
40 Poprzez pytania drugie i trzecie, które należy rozpatrzyć łącznie, sąd odsyłający dąży w istocie do ustalenia, czy przepisy RODO, a w szczególności jego art. 86, należy interpretować w ten sposób, że stoją one na przeszkodzie temu, by dane dotyczące wyroków skazujących osobę fizyczną stanowiące część zbioru danych znajdującego się w posiadaniu sądu mogłyby zostać ujawnione ustnie każdemu, w celu zapewnienia przysługującego opinii publicznej prawa do dostępu do dokumentów urzędowych, bez konieczności wykazywania przez osobę żądającą tego ujawnienia, że ma ona szczególny interes w uzyskaniu tych danych, i czy odpowiedź na to pytanie jest różna w zależności od tego, czy osoba ta jest spółką handlową, czy osobą fizyczną.
41 Pytanie to ma swoje źródło w rozpatrywanym w postępowaniu głównym prawodawstwie krajowym, ponieważ nie ustanowiono w nim wymogu przestrzegania przepisów krajowych dotyczących ochrony danych osobowych w sytuacji, gdy takie dane są ujawniane ustnie.
42 W tym względzie należy przypomnieć, że zgodnie z art. 288 akapit drugi TFUE rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Przepisy rozporządzeń mają zatem z reguły, ze względu na sam swój charakter i swoją funkcję w systemie źródeł prawa Unii, bezpośredni skutek w krajowych porządkach prawnych, bez konieczności przyjmowania środków wykonawczych przez władze krajowe (wyroki: z dnia 16 czerwca 2022 r., Port de Bruxelles i Région de Bruxelles‑Capitale, C‑229/21, EU:C:2022:471, pkt 47; a także z dnia 30 marca 2023 r., Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, pkt 77).
43 Sąd krajowy jest zatem zobowiązany do stosowania określonych w RODO wymogów w ich całokształcie, nawet jeśli w mającym zastosowanie prawie krajowym nie istnieje przepis szczególny pozwalający na uwzględnienie interesów osób, których dane są przedmiotem danej sprawy (zob. podobnie wyrok z dnia 2 marca 2023 r., Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, pkt 44, 59).
44 Z powyższych rozważań wynika, że ustne ujawnienie danych dotyczących wyroków skazujących osobę fizyczną może mieć miejsce tylko wtedy, gdy określone w RODO przesłanki są spełnione ze względu na to, że te dane stanowią lub mają stanowić część zbioru danych.
45 Z tego względu należy przypomnieć, że zgodnie z utrwalonym orzecznictwem Trybunału każde przetwarzanie danych osobowych powinno, z jednej strony, być zgodne z dotyczącymi przetwarzania danych zasadami określonymi w art. 5 RODO, oraz, z drugiej strony, zważywszy zwłaszcza na przewidzianą w art. 5 ust. 1 lit. a) zasadę zgodności przetwarzania z prawem, spełniać jeden z warunków zgodności przetwarzania z prawem wymienionych w art. 6 owego rozporządzenia [zob. podobnie wyroki: z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 96; a także z dnia 7 grudnia 2023 r., SCHUFA Holding i in. (Scoring), C‑634/21, EU:C:2023:957, pkt 67].
46 W szczególności przetwarzanie danych osobowych rozpatrywane w postępowaniu głównym, a mianowicie ustne ujawnianie danych dotyczących czynów zabronionych, może być objęte zakresem stosowania art. 6 ust. 1 lit. e) RODO, na mocy którego przetwarzanie jest dozwolone, jeżeli – i w takim zakresie, w jakim ma to miejsce – przetwarzanie to „jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi” [zob. wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 99].
47 Ponadto, jeśli chodzi w szczególności o dane dotyczące wyroków skazujących i te dotyczące czynów zabronionych, ich przetwarzanie zostało poddane w art. 10 RODO dodatkowym ograniczeniom. Zgodnie z tym przepisem przetwarzania tych danych „wolno dokonywać wyłącznie pod nadzorem władz publicznych”, chyba że „jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą” [zob. wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 100].
48 Trybunał orzekł już, że ani art. 6 ust. 1 lit. e) RODO, ani art. 10 tego rozporządzenia nie zakazują w sposób ogólny i bezwzględny tego, by organ publiczny był uprawniony, a wręcz zobowiązany, do ujawnienia danych osobowych osobom, które się o to zwrócą [zob. wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 103].
49 Tak więc RODO nie stoi na przeszkodzie temu, aby dane osobowe były ujawniane publicznie, jeżeli jest to niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej w rozumieniu art. 6 ust. 1 lit. e) tego rozporządzenia. Jest tak nawet wówczas, gdy dane te objęte są zakresem art. 10 RODO, pod warunkiem że przepisy zezwalające na to ujawnianie przewidują odpowiednie zabezpieczenia dla praw i wolności osób, których dane dotyczą [zob. wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 104].
50 W niniejszej sprawie z postanowienia odsyłającego oraz z uwag na piśmie przedstawionych przez rząd finlandzki wynika, że przepisy krajowe dotyczące jawności działań organów władzy publicznej i postępowania przed sądami powszechnymi mają na celu realizację leżącego w interesie publicznym zadania związanego z zapewnieniem przysługującego opinii publicznej prawa do dostępu do dokumentów urzędowych.
51 W tych okolicznościach sąd odsyłający dąży w szczególności do ustalenia, czy rozpatrywane w postępowaniu głównym przetwarzanie danych osobowych można uznać za zgodne z prawem w świetle zasady proporcjonalności, w szczególności w świetle wyważenia, jakiego należy dokonać między z jednej strony przysługującym opinii publicznej prawem do dostępu do dokumentów urzędowych, o którym mowa w art. 86 RODO, a z drugiej strony prawami podstawowymi do poszanowania życia prywatnego i ochrony danych osobowych, usankcjonowanymi w art. 7 i 8 Karty.
52 W tym względzie należy przypomnieć, że podstawowe prawa do poszanowania życia prywatnego i ochrony danych osobowych nie są prerogatywami absolutnymi, o czym świadczy też motyw 4 RODO, lecz należy je postrzegać w kontekście ich funkcji społecznej i wyważyć względem innych praw podstawowych. Można więc wprowadzić ograniczenia, pod warunkiem że zgodnie z art. 52 ust. 1 Karty są one przewidziane ustawą i szanują istotę praw podstawowych oraz zasadę proporcjonalności. Na podstawie tej ostatniej zasady ograniczenia mogą być wprowadzone wyłącznie wtedy, gdy są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób. Ograniczenia te należy ustanawiać w granicach tego, co jest absolutnie konieczne, a uregulowanie dotyczące ingerencji powinno zawierać jasne i precyzyjne zasady regulujące zakres i sposób stosowania danego środka [zob. wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 105].
53 W celu ustalenia, czy ujawnianie opinii publicznej danych osobowych dotyczących wyroków skazujących jest konieczne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej w rozumieniu art. 6 ust. 1 lit. e) RODO oraz czy ustawodawstwo zezwalające na takie ujawnianie przewiduje odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą, w rozumieniu art. 10 tego rozporządzenia, należy w szczególności zbadać, czy, ze względu na wagę ingerencji w prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych spowodowanej przez to ujawnienie, należy ją uznać za uzasadnioną, a w szczególności proporcjonalną, dla realizacji zamierzonych celów [zob. wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 106].
54 Jeśli chodzi o wagę ingerencji w te prawa, Trybunał orzekł już, że przetwarzanie danych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa może, ze względu na szczególną wrażliwość takich danych, stanowić szczególnie poważną ingerencję w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych, zagwarantowane w art. 7 i 8 Karty. Skoro bowiem takie dane dotyczą zachowań powodujących dezaprobatę społeczeństwa, udzielenie dostępu do tych właśnie danych może stygmatyzować osobę, której dane dotyczą, a tym samym stanowić poważną ingerencję w jej życie prywatne lub zawodowe [zob. wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 74, 75, 112].
55 Choć powoływany przez sąd odsyłający dostęp opinii publicznej do dokumentów urzędowych stanowi, jak wynika z motywu 154 RODO, interes publiczny mogący uzasadniać ujawnienie danych osobowych zawartych w takich dokumentach, dostęp ten należy jednak pogodzić z prawami podstawowymi do poszanowania życia prywatnego i ochrony danych osobowych, który to wymóg został zresztą wyraźnie ustanowiony w art. 86 RODO. Biorąc zaś pod uwagę w szczególności wrażliwość danych dotyczących wyroków skazujących i wagę ingerencji w prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych osób, których dane dotyczą, należy uznać, że prawa te są nadrzędne wobec interesu opinii publicznej polegającego na uzyskaniu dostępu do dokumentów urzędowych [zob. wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 120].
56 Z tego samego powodu prawo do wolności informacji, o którym mowa w art. 85 RODO, nie może być interpretowane w ten sposób, że uzasadnia ono ujawnienie każdej osobie, która o to wnosi, danych osobowych dotyczących wyroków skazujących [zob. wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne), C‑439/19, EU:C:2021:504, pkt 121].
57 W tym względzie bez znaczenia jest, czy osoba zwracająca się z wnioskiem o uzyskanie dostępu do danych dotyczących wyroków skazujących jest spółką handlową, czy też osobą fizyczną, i czy ujawnienie takich danych następuje na piśmie, czy ustnie.
58 W świetle powyższych rozważań na pytania prejudycjalne drugie i trzecie należy odpowiedzieć, że przepisy RODO, a w szczególności jego art. 6 ust. 1 lit. e) i art. 10, należy interpretować w ten sposób, że stoją one na przeszkodzie temu, by dotyczące wyroków skazujących osobę fizyczną dane stanowiące część zbioru znajdującego się w posiadaniu sądu mogły zostać ujawnione ustnie każdemu, w celu zapewnienia dostępu opinii publicznej do dokumentów urzędowych, bez konieczności wykazywania przez osobę żądającą tego przekazania, że ma ona szczególny interes w uzyskaniu tych danych; bez znaczenia jest przy tym to, czy osoba zwracająca się z wnioskiem o uzyskanie dostępu jest spółką handlową, czy też osobą fizyczną.
W przedmiocie kosztów
59 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (szósta izba) orzeka, co następuje:
1) Artykuł 2 ust. 1 i art. 4 pkt 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
należy interpretować w ten sposób, że:
ustne ujawnienie informacji o ewentualnych toczących się lub zakończonych postępowaniach karnych przeciwko określonej osobie fizycznej stanowi przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 tego rozporządzenia, które, jeżeli informacje te stanowią lub mają stanowić część zbioru danych, wchodzi w przedmiotowy zakres zastosowania tego rozporządzenia.
2) Przepisy rozporządzenia 2016/679, a zwłaszcza jego art. 6 ust. 1 lit. e) i art. 10,
należy interpretować w ten sposób, że:
stoją one na przeszkodzie temu, by dotyczące wyroków skazujących osobę fizyczną dane stanowiące część zbioru znajdującego się w posiadaniu sądu mogły zostać ujawnione ustnie każdemu, w celu zapewnienia dostępu opinii publicznej do dokumentów urzędowych, bez konieczności wykazywania przez osobę żądającą tego przekazania, że ma ona szczególny interes w uzyskaniu tych danych; bez znaczenia jest przy tym to, czy osoba zwracająca się z wnioskiem o uzyskanie dostępu jest spółką handlową, czy też osobą fizyczną.
Podpisy