WYROK SĄDU (dziewiąta izba w składzie powiększonym)
z dnia 14 lutego 2019 r.(*)
Dane osobowe – Ochrona osób fizycznych w zakresie przetwarzania tych danych – Prawo dostępu do tych danych – Rozporządzenie (WE) nr 45/2001 – Odmowa udzielenia dostępu – Skarga o stwierdzenie nieważności – Pismo odsyłające, bez przeprowadzenia weryfikacji, do wcześniejszej częściowej odmowy udzielenia dostępu – Pojęcie aktu zaskarżalnego w rozumieniu art. 263 TFUE – Pojęcie aktu wyłącznie potwierdzającego – Możliwość zastosowania w dziedzinie dostępu do danych osobowych – Nowe istotne okoliczności faktyczne – Interes prawny – Dopuszczalność – Obowiązek uzasadnienia
W sprawie T‑903/16
RE, reprezentowany przez adwokata S. Pappasa,
strona skarżąca,
przeciwko
Komisji Europejskiej, reprezentowanej przez H. Kranenborga oraz D. Nardiego, działających w charakterze pełnomocników,
strona pozwana,
mającej za przedmiot oparty na podstawie art. 263 TFUE wniosek o stwierdzenie nieważności pisma dyrektora Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa Komisji z dnia 12 października 2016 r. w zakresie, w jakim oddalono w nim złożony przez skarżącego wniosek o udzielenie mu dostępu do pewnych dotyczących go danych osobowych,
SĄD (dziewiąta izba w składzie powiększonym),
w składzie: S. Gervasoni, prezes, L. Madise, R. da Silva Passos, K. Kowalik-Bańczyk (sprawozdawca) i C. Mac Eochaidh, sędziowie,
sekretarz: N. Schall, administrator,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 20 września 2018 r.,
wydaje następujący
Wyrok
Okoliczności powstania sporu
1 Skarżący RE pełnił obowiązki [poufne](1) w Dyrekcji Generalnej ds. Współpracy Międzynarodowej i Rozwoju Komisji Europejskiej.
2 Dyrekcja Generalna ds. Zasobów Ludzkich i Bezpieczeństwa Komisji (zwana dalej „DG ds. Bezpieczeństwa”) wszczęła wobec skarżącego dochodzenie administracyjne. Dochodzenie to dotyczyło rzekomego udziału skarżącego w działaniach tajnych służb, a w szczególności jego zachowania w czasie konfliktu między dwoma państwami trzecimi, przy czym skarżący był podejrzany o to, że przy tej okazji nawiązał zbyt bliskie stosunki z jednym z tych państw i ujawniał mu bez zezwolenia pewne poufne informacje.
3 W wysłanej pocztą elektroniczną w dniu 5 grudnia 2013 r. wiadomości skarżący zwrócił się na podstawie art. 13 rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych [Dz.U. 2001, L 8, s. 1 – wyd. spec. w jęz. polskim, rozdz. 13, t. 26, s. 102] do DG ds. Bezpieczeństwa o dostarczenie mu wszystkich będących w posiadaniu tej dyrekcji dotyczących go informacji i danych osobowych.
4 W piśmie z dnia 25 lutego 2014 r. dyrektor DG ds. Bezpieczeństwa najpierw podniósł, że niektóre dokumenty zostały dostarczone skarżącemu już w dniu 27 listopada 2013 r., a następnie odmówił mu dostępu do pozostałych dotyczących go danych osobowych ze względu na to, iż są one objęte wyjątkami i ograniczeniami przewidzianymi w art. 20 ust. 1 lit. a)–d) rozporządzenia nr 45/2001.
5 Skarżący uznał, że ta odmowa dostępu stanowi naruszenie art. 13 i art. 20 ust. 1 rozporządzenia nr 45/2001 i pismem z dnia 18 kwietnia 2014 r. zwrócił się do Europejskiego Inspektora Ochrony Danych (EIOD) ze skargą na podstawie art. 32 ust. 2 rozporządzenia nr 45/2001.
6 Decyzją z dnia 26 lutego 2016 r. EIOD doszedł do wniosku, że, biorąc pod uwagę sposób, w jaki DG ds. Bezpieczeństwa zastosowała wyjątki przewidziane w art. 20 ust. 1 rozporządzenia nr 45/2001, niektóre z dotyczących skarżącego danych osobowych nie zostały przez tę dyrekcję prawidłowo przetworzone.
7 Uwzględniając wydaną przez EIOD decyzję, DG ds. Bezpieczeństwa ponownie przeanalizowała złożony przez skarżącego wniosek o udzielenie mu dostępu do jego danych osobowych.
8 Po zakończeniu tej ponownej analizy dyrektor DG ds. Bezpieczeństwa wydał w dniu 8 marca 2016 r. decyzję (zwaną dalej „decyzją z dnia 8 marca 2016 r.”), w której częściowo uwzględnił złożony przez skarżącego wniosek, udzielając mu dostępu do niektórych z jego danych osobowych i przekazując mu między innymi osiem dokumentów (dokumenty nr 44, 59–62, 67, 69 i 71). Do decyzji tej załączono tabelę określającą 71 będących w posiadaniu DG ds. Bezpieczeństwa dokumentów i opisującą w odniesieniu do każdego z nich jego datę, przedmiot, rodzaj zawartych w nim danych osobowych, krótki opis treści tych danych, ich źródło oraz, w odniesieniu do 35 spośród 71 dokumentów (dokumenty nr 1, 6–9, 11, 12, 14–16, 18, 20, 21, 27, 28, 31, 32, 35, 36, 41, 42, 45, 46, 48–52, 54–57, 66, 68 i 70), powód lub powody, dla których niektóre z tych danych nie mogły zostać ujawnione w zastosowaniu art. 20 ust. 1 lit. a) i c) rozporządzenia nr 45/2001. Wśród tych dokumentów znajdowało się opatrzone numerem 57 „pismo dotyczące rekrutacji [skarżącego] jako [poufne] do [Dyrekcji Generalnej ds. Współpracy Międzynarodowej i Rozwoju Komisji]” z dnia 23 stycznia 2012 r. (zwane dalej „dokumentem nr 57”).
9 W wysłanej pocztą elektroniczną w dniu 29 kwietnia 2016 r. do DG ds. Bezpieczeństwa wiadomości skarżący wskazał na elementy odpowiedzi przedstawione w decyzji z dnia 8 marca 2016 r. i wyraził życzenie uzyskania dostępu do „ograniczonej liczby dokumentów [spośród tych wymienionych w tabeli załączonej do tej decyzji]”. Przy tej okazji skarżący zwrócił się również o poinformowanie go o dacie zakończenia dochodzenia administracyjnego.
10 Równolegle, w dniu 5 lipca 2016 r. skarżący złożył nową skargę do EIOD, twierdząc, że w decyzji z dnia 8 marca 2016 r. DG ds. Bezpieczeństwa nie zastosowała się jeszcze do decyzji z dnia 26 lutego 2016 r., wydanej przez EIOD w sprawie jego poprzedniej skargi.
11 Decyzją z dnia 25 lipca 2016 r. (zwaną dalej „decyzją EIOD z dnia 25 lipca 2016 r.”) EIOD uznał, że w decyzji z dnia 8 marca 2016 r. DG ds. Bezpieczeństwa w pełni wdrożyła zalecenia zawarte przezeń w decyzji z dnia 26 lutego 2016 r. i w związku z tym stwierdził, że dyrekcja ta, wydając decyzję z dnia 8 marca 2016 r., nie naruszyła przepisów art. 13 i art. 20 ust. 1 rozporządzenia nr 45/2001.
12 W dniu 14 września 2016 r. DG ds. Bezpieczeństwa odpowiedziała na wysłaną pocztą elektroniczną przez skarżącego wiadomość z dnia 29 kwietnia 2016 r. Uznając, że rozpatrywany wniosek o udzielenie dostępu do dokumentów został do niej złożony na podstawie rozporządzenia (WE) nr 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji (Dz.U. 2001, L 145, s. 43 – wyd. spec. w jęz. polskim, rozdz. 1, t. 3, s. 331), DG ds. Bezpieczeństwa zwróciła się do skarżącego na podstawie art. 6 ust. 2 tego rozporządzenia o doprecyzowanie tego wniosku tak, aby mogła ona zidentyfikować dokumenty, do których pragnie on uzyskać dostęp. Poinformowała ona również wnioskodawcę, że dochodzenie administracyjne zostało zakończone w dniu 31 sierpnia 2016 r.
13 Skierowanym do DG ds. Bezpieczeństwa pismem z dnia 21 września 2016 r. (zwanym dalej „wnioskiem z dnia 21 września 2016 r.”) skarżący zwrócił się o dostęp do 42 z 71 dokumentów określonych w decyzji z dnia 8 marca 2016 r. (dokumenty nr 1–5, 8, 11, 13, 14, 19, 21–30, 33, 34, 37–43, 47–53, 56–58 i 63–65) lub, przynajmniej, do „informacji” zawartych w tych dokumentach, powołując się, po pierwsze, na art. 13 rozporządzenia nr 45/2001 i, po drugie, na art. 6 rozporządzenia nr 1049/2001. Przy tej okazji skarżący podzielił dokumenty i informacje, odnośnie do których zwrócił się z wnioskiem o dostęp, na cztery grupy określone przez strony jako grupa A (dokumenty nr 2–5, 13, 19, 22 do 26, 29, 30, 33, 34, 37–40, 43, 47, 53, 56, 58 i 63), grupa B (dokumenty nr 8, 11, 41, 42, 48, 49 i 51), grupa C (dokumenty nr 48, 49 i 51, które zostały już zawarte w grupie B) i grupa D (dokumenty nr 1, 14, 21, 27, 28, 50, 52 i 57), i wyjaśnił w odniesieniu do każdej grupy powody, dla których jego zdaniem należy uwzględnić złożony przezeń wniosek.
14 W dniu 12 października 2016 r. dyrektor DG ds. Bezpieczeństwa odpowiedział na wniosek z dnia 21 września 2016 r. pismem (zwanym dalej „zaskarżonym pismem”) w następującym brzmieniu:
„1. We [wniosku] z dnia 21 [września] 2016 r. opiera Pan na art. 13 rozporządzenia nr 45/2001 swe żądanie uzyskania dostępu do pewnych dokumentów. [W tym względzie] odsyłam [Pana] do decyzji [z dnia 8 marca] 2016 r.
Ponadto odsyłam [Pana] do decyzji [EIOD] z dnia 25 lipca 2016 r., w której wyraźnie stwierdzono, że EIOD nie posiada żadnych informacji świadczących o tym, iż DG ds. Bezpieczeństwa naruszyła Pańskie prawo dostępu do Pana danych osobowych. W związku z tym uważam, że DG ds. Bezpieczeństwa rozpatrzyła [prawidłowo] Pański wniosek o udzielenie dostępu do Pana danych osobowych.
2. We [wniosku z dnia 21 września 2016 r.] wskazuje Pan również na rozporządzenie nr 1049/2001 […] i zwraca się o udzielenie dostępu do zawartych w [Pana] aktach konkretnych dokumentów, o których mowa w [tabeli załączonej do decyzji z dnia 8 marca 2016 r.]. W związku z tym pragnę zwrócić Pana uwagę na fakt, że dokumenty, które [zostałyby] Panu ujawnione w oparciu o to rozporządzenie, stałyby się dostępne dla każdej innej osoby, która tego by zażądała w przyszłości, i w związku z tym zostałyby de facto upublicznione – w razie potrzeby w wersji, z której jedynie usunięto by Pana dane osobowe.
W związku z powyższym postępowanie w sprawie Pana wniosku o udzielenie dostępu do dokumentów zostaje zamknięte. Gdyby [ten] wniosek został złożony w celach prywatnych, proszę o potwierdzenie tego poprzez podanie prywatnych adresów poczty elektronicznej i tradycyjnej”.
Przebieg postępowania i żądania stron
15 Pismem złożonym w sekretariacie Sądu w dniu 19 grudnia 2016 r. skarżący wniósł niniejszą skargę.
16 Odrębnym pismem, złożonym w sekretariacie Sądu w tym samym dniu skarżący zażądał zachowania swej anonimowości. Postanowieniem z dnia 18 stycznia 2017 r. Sąd uwzględnił ten wniosek.
17 Odrębnym pismem złożonym w sekretariacie Sądu w dniu 5 kwietnia 2017 r. Komisja podniosła na podstawie art. 130 § 1 regulaminu postępowania przed Sądem zarzut niedopuszczalności.
18 W dniu 22 maja 2017 r. skarżący złożył w sekretariacie Sądu swe uwagi w przedmiocie tego zarzutu niedopuszczalności.
19 Postanowieniem z dnia 18 października 2017 r. Sąd orzekł o pozostawieniu podniesionej przez Komisję kwestii zarzutu niedopuszczalności do rozstrzygnięcia w wyroku.
20 W ramach środków organizacji postępowania przyjętych na podstawie art. 89 § 3 lit. a) i b) regulaminu postępowania Sąd zadał stronom pytania na piśmie, na które miały one udzielić odpowiedzi na piśmie.
21 Strony zastosowały się do tego wezwania w wyznaczonym terminie.
22 W dniu 19 grudnia 2017 r. Komisja złożyła w sekretariacie Sądu odpowiedź na skargę.
23 W ramach środków organizacji postępowania przyjętych na podstawie art. 89 § 3 lit. a) i b) regulaminu postępowania Sąd zadał stronom pytania na piśmie, na które miały one udzielić odpowiedzi na rozprawie.
24 Skarżący wnosi do Sądu o:
– oddalenie zarzutu niedopuszczalności;
– stwierdzenie nieważności zaskarżonego pisma w zakresie, w jakim oddalono w nim złożony przezeń wniosek o udzielenie mu dostępu do pewnych dotyczących go danych osobowych;
– nakazanie Komisji zapłaty na jego rzecz zadośćuczynienia w wysokości 10 000 EUR za krzywdę, jaką poniósł wskutek odmowy udzielenia mu przez DG ds. Bezpieczeństwa dostępu do jego danych osobowych;
– nakazanie Komisji zapłaty na jego rzecz zadośćuczynienia w wysokości 30 000 EUR za krzywdę, jaką poniósł wskutek bezprawnego przetwarzania i rozpowszechniania przez DG ds. Bezpieczeństwa jego danych osobowych;
– obciążenie Komisji kosztami postępowania.
25 Komisja wnosi do Sądu o:
– odrzucenie skargi jako niedopuszczalnej lub – w razie braku takiego odrzucenia – oddalenie jej jako bezzasadnej;
– obciążenie skarżącego kosztami postępowania.
26 Skarżący wnosi również do Sądu o nakazanie Komisji, w ramach środka dowodowego, przedstawienia dokumentu nr 57 w zastosowaniu art. 91 lit. c) regulaminu postępowania czy też, w braku tej możliwości, w zastosowaniu art. 104 tego regulaminu.
27 Podczas rozprawy skarżący wycofał swe żądania zadośćuczynienia za rzekomo poniesione przezeń dwa rodzaje krzywdy. Sprecyzował on również i ograniczył zakres swojego żądania stwierdzenia nieważności, twierdząc, że nie miało ono na celu zakwestionowania odmowy udzielenia dostępu do danych osobowych zawartych w dokumentach, o których mowa w skardze, ale niewymienionych we wniosku z dnia 21 września 2016 r. Ponieważ Komisja nie zgłosiła uwag na temat tego cofnięcia żądań i tego wyjaśnienia, zostały one odnotowane w protokole z rozprawy.
Co do prawa
W przedmiocie żądań stwierdzenia nieważności
28 Należy w pierwszej kolejności zbadać, czy podnoszone żądania stwierdzenia nieważności są dopuszczalne, a jeśli okaże się, że tak, to w drugiej kolejności należy zbadać, czy są one zasadne.
W przedmiocie dopuszczalności żądań stwierdzenia nieważności
29 Komisja podnosi, że mamy tu do czynienia z trzema przeszkodami procesowymi. Po pierwsze, zaskarżone pismo nie zawierało rozstrzygnięcia w przedmiocie prawa skarżącego do uzyskania dostępu do swoich danych osobowych. Po drugie, pismo to stanowi w każdym razie akt o wyłącznie potwierdzającym charakterze. Po trzecie, skarżący nie miał rzeczywistego interesu prawnego we wniesieniu skargi na to pismo.
– Co do przedmiotu zaskarżonego pisma i odmowy udzielenia dostępu do danych osobowych
30 Komisja twierdzi, że wniosek z dnia 21 września 2016 r. dotyczył wyłącznie udzielenia dostępu do dokumentów na podstawie rozporządzenia nr 1049/2001. Z tego właśnie powodu jej zdaniem, DG ds. Bezpieczeństwa nie zawarła w zaskarżonym piśmie rozstrzygnięcia w przedmiocie prawa do dostępu do danych osobowych przysługujących skarżącemu na podstawie rozporządzenia nr 45/2001.
31 Skarżący kwestionuje argumentację Komisji. Podnosi on, że we wniosku z dnia 21 września 2016 r. zawarł on równocześnie żądanie udzielenia dostępu do dokumentów i żądanie udzielenia dostępu do danych osobowych.
32 Na wstępie należy przypomnieć, że rozporządzenia nr 1049/2001 i nr 45/2001 mają odrębne cele. Pierwsze z tych rozporządzeń ma na celu zapewnienie możliwie największej przejrzystości procesu podejmowania decyzji przez władze publiczne, jak również informacji, na których oparte są ich decyzje. Przyjmując je, prawodawca zmierzał zatem do jak najdalej idącego ułatwienia korzystania z prawa do dostępu do dokumentów, a także promowania dobrych praktyk administracyjnych w tym zakresie. Cel drugiego rozporządzenia polega na zapewnieniu podczas przetwarzania danych osobowych ochrony wolności i praw podstawowych osób fizycznych, a w szczególności – ich prywatności (wyrok z dnia 29 czerwca 2010 r., Komisja/Bavarian Lager, C‑28/08 P, EU:C:2010:378, pkt 49). Wynika z tego, że, w odróżnieniu od rozporządzenia nr 1049/2001, rozporządzenie nr 45/2001 nie ma na celu ułatwienia korzystania z prawa dostępu do dokumentów (zob. podobnie wyrok z dnia 17 lipca 2014 r., YS i in., C‑141/12 i C‑372/12, EU:C:2014:2081, pkt 47).
33 W tym kontekście przewidziane odpowiednio w obu tych rozporządzeniach prawa nie zostały przyznane w tym samym celu i przysługują różnym podmiotom. Celem art. 2 rozporządzenia nr 1049/2001 jest bowiem umożliwienie opinii publicznej, czyli każdemu obywatelowi czy też osobie fizycznej lub prawnej, dostępu do posiadanych przez instytucje dokumentów. Natomiast art. 13 rozporządzenia nr 45/2001 umożliwia osobom, których dane osobowe są przetwarzane („podmiotom danych”), dostęp do tych danych, czyli do informacji dotyczących ich jako zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych, przy czym przepis ten nie stanowi, że osoby te mogą mieć z tego tytułu również dostęp do dokumentów zawierających te dane. W tym względzie należy zauważyć, że art. 13 lit. c) rozporządzenia nr 45/2001 stanowi jedynie, iż osobie, której dane osobowe są przetwarzane („podmiotowi danych”), przysługuje prawo do „przekazania [jej] w zrozumiałej formie danych podlegających przetwarzaniu”.
34 W niniejszej sprawie należy przede wszystkim zauważyć, że zaskarżone pismo ma negatywny charakter ze względu na to, iż stanowi odpowiedź na wniosek z dnia 21 września 2016 r., a także ze względu na to, iż nie ma wątpliwości co do tego, że na jego podstawie nie udzielono skarżącemu dostępu ani do jego danych osobowych, ani do zawierających te dane dokumentów.
35 Jeżeli zaś decyzja jest negatywna, należy oceniać ją w zależności od charakteru wniosku, na który jest ona odpowiedzią (wyroki: z dnia 8 marca 1972 r., Nordgetreide/Komisja, 42/71, EU:C:1972:16, pkt 5; z dnia 24 listopada 1992 r., Buckl i in./Komisja, C‑15/91 i C‑108/91, EU:C:1992:454, pkt 22). Tak więc przedmiot zaskarżonego pisma należy oceniać w szczególności z uwzględnieniem treści wniosku z dnia 21 września 2016 r.
36 W tym względzie należy przede wszystkim podnieść, że wniosek z dnia 21 września 2016 r. jest zatytułowany „Dane osobowe”.
37 Następnie wniosek z dnia 21 września 2016 r. odnosi się nie tylko do rozporządzenia nr 1049/2001, ale także do rozporządzenia nr 45/2001. Po pierwsze, wniosek ten został expressis verbis złożony zarówno na podstawie art. 6 rozporządzenia nr 1049/2001, jak i na podstawie art. 13 rozporządzenia nr 45/2001. Po drugie, wniosek zawiera dotyczącą wyjątków lub ograniczeń przewidzianych w art. 20 ust. 1 rozporządzenia nr 45/2001 argumentację odnoszącą się do każdej z czterech grup dokumentów, o których mowa w pkt 13 powyżej.
38 Wreszcie, w swym wniosku z dnia 21 września 2016 r. skarżący kilkakrotnie odnosi się zarówno do dokumentów, jak i do zawartych w tych dokumentach „informacji”. W związku z tym od samego początku i całościowo oświadcza on, że chce uzyskać dostęp do niektórych dokumentów lub przynajmniej do zawartych w nich informacji. Ponadto wyraźnie ponawia on też wniosek o udzielenie dostępu do informacji zawartych w dokumentach zakwalifikowanych do grupy D. Ponadto w odniesieniu do dokumentów należących do grupy C kwestionuje on to, że podanie do wiadomości tych dokumentów lub informacji, które zawierają, mogłoby mieć niekorzystny wpływ na narzędzia i metody dochodzeniowe DG ds. Bezpieczeństwa. Wreszcie skarżący wymienia informacje przekazane lub zebrane w dokumentach należących do grupy A, wyjaśniając, że dokumenty te dotyczą go osobiście i bezpośrednio.
39 Uwzględniając powyższe, należy uznać, że wniosek z dnia 21 września 2016 r. zawiera, oprócz żądania udzielenia dostępu do dokumentów, również żądanie udzielenia dostępu do zawartych w tych dokumentach dotyczących skarżącego danych osobowych.
40 Po drugie, należy zauważyć, że dyrektor DG ds. Bezpieczeństwa odniósł się w zaskarżonym piśmie do „wniosku [skarżącego] o udzielenie mu dostępu do [dotyczących go] danych osobowych”. Opierając się na decyzji EIOD z dnia 25 lipca 2016 r. wskazał on też, iż organ ten uznał, że DG ds. Bezpieczeństwa „rozpatrzyła [prawidłowo ten] wniosek”. DG ds. Bezpieczeństwa sama bowiem postanowiła podnieść w zaskarżonym piśmie nie tylko kwestię dostępu do rozpatrywanych dokumentów, ale również – kwestię dostępu do zawartych w tych dokumentach danych osobowych, podkreślając, że decyzja z dnia 8 marca 2016 r. nie stanowi naruszenia przysługującego skarżącemu prawa do dostępu do tych danych.
41 Ponadto Komisja nie wykazała ani nawet nie podniosła tego, że DG ds. Bezpieczeństwa w jakimkolwiek momencie ustosunkowała się, na piśmie bądź ustnie, choćby nawet w dorozumiany sposób, do wniosku z dnia 21 września 2016 r. w zakresie, w jakim dotyczył on udzielenia dostępu do danych osobowych.
42 W takich okolicznościach należy uznać, że Komisja w zaskarżonym piśmie wydała na wniosek skarżącego rozstrzygnięcie w przedmiocie jego żądania udzielenia mu dostępu do niektórych jego danych osobowych. Wynika z tego, że to pismo, w którym nie uwzględniono zawartych w tym wniosku żądań, należy rozpatrywać jako odmowę udzielenia dostępu do wspomnianych danych.
– W przedmiocie wyłącznie potwierdzającego charakteru zaskarżonego pisma
43 Komisja twierdzi, że, nawet przyjmując, iż DG ds. Bezpieczeństwa wydała w zaskarżonym piśmie rozstrzygnięcie w dziedzinie dostępu do danych osobowych, to w każdym razie pismo to byłoby wyłącznie aktem potwierdzającym decyzję z dnia 8 marca 2016 r., która nie została zakwestionowana przez skarżącego w wyznaczonym do wniesienia skargi terminie.
44 Skarżący kwestionuje argumentację Komisji. Podnosi on, że zakończenie dochodzenia administracyjnego w dniu 31 sierpnia 2016 r. oraz złożenie w dniu 21 września 2016 r. wniosku o udzielenie dostępu do jego danych osobowych w okrojonej formie stanowią nowe istotne okoliczności faktyczne pociągające za sobą nałożenie na DG ds. Bezpieczeństwa obowiązku ponownego rozważenia zasadności decyzji z dnia 8 marca 2016 r.
45 W pierwszej kolejności podnoszona przez Komisję argumentacja dotyczy kwestii, czy orzecznictwo, zgodnie z którym skarga o stwierdzenie nieważności decyzji wyłącznie potwierdzającej wcześniej wydaną decyzję jest niedopuszczalna, jeśli nie została wniesiona w terminie wymaganym do zakwestionowania tej wcześniejszej decyzji (wyrok z dnia 17 maja 2017 r., Portugalia/Komisja, C‑337/16 P, EU:C:2017:381, pkt 51) ma zastosowanie do decyzji przyjętych przez instytucję w odpowiedzi na wniosek o udzielenie dostępu do danych osobowych złożony na podstawie art. 13 rozporządzenia nr 45/2001.
46 W tym względzie należy zauważyć, że art. 13 lit. c) rozporządzenia nr 45/2001 stanowi, iż osoba, której dane osobowe są przetwarzane („podmiotowi danych”) „ma prawo do uzyskania […] bez ograniczeń, w dowolnym momencie[,] w okresie [terminie] trzech miesięcy od odebrania takiego życzenia [wniosku] przez administratora i bez opłat […] przekazania [jej] w zrozumiałej formie danych podlegających przetwarzaniu […]”. Z przepisu tego, zgodnie z którym osoba, której dane są przetwarzane, może „w dowolnym momencie” mieć dostęp do swoich danych osobowych, wynika, że ma ona prawo do ciągłego i stałego dostępu do swoich danych osobowych.
47 Z drugiej strony, choć art. 20 ust. 1 rozporządzenia nr 45/2001 przewiduje wyjątki i ograniczenia w odniesieniu do przysługującego danej osobie prawa do dostępu do swoich danych osobowych, przepis ten stanowi też, że instytucje mogą ograniczyć stosowanie art. 13 tego rozporządzenia tylko w przypadku, „jeżeli takie ograniczenie jest środkiem koniecznym, aby chronić [pewne dobra]”. Wynika z tego, że wyjątki i ograniczenia, o których mowa w art. 20 ust. 1 tego rozporządzenia, mogą być stosowane wyłącznie w okresie, w którym są one konieczne [do ochrony pewnych dóbr].
48 Ponadto należy podkreślić, że ochrona danych osobowych mająca swoje źródło w wyraźnie przewidzianym w art. 8 ust. 1 karty praw podstawowych Unii Europejskiej obowiązku jest szczególnie istotna z punktu widzenia prawa do poszanowania życia prywatnego ustanowionego w jej art. 7 (wyrok z dnia 8 kwietnia 2014 r., Digital Rights Ireland i in., C‑293/12 i C‑594/12, EU:C:2014:238, pkt 53).
49 Trybunał opowiedział się zaś za przyjęciem takiej wykładni prawa Unii Europejskiej, która zapewnia wysoki poziom ochrony danych osobowych. W szczególności Trybunał uwzględnił fakt, że w dziedzinie przetwarzania danych osobowych sytuacja faktyczna i prawna osoby, której dane dotyczą, podlega, z natury rzeczy, zmianom, ponieważ sam upływ czasu może spowodować, że przetwarzanie danych stanie się zbędne lub nawet niezgodne z prawem – pomimo że wcześniej nie miało takiego charakteru (zob. podobnie i w drodze analogii wyrok z dnia 13 maja 2014 r., Google Spain i Google, C‑131/12, EU:C:2014:317, pkt 92, 93).
50 Wynika z tego, że w ramach rozporządzenia nr 45/2001 dana osoba może w każdej chwili złożyć nowy wniosek o udzielenie dostępu dotyczący danych osobowych, do których wcześniej odmówiono jej dostępu. Taki wniosek zobowiązuje daną instytucję do przeanalizowania tego, czy wcześniejsza odmowa udzielenia dostępu jest nadal uzasadniona.
51 W związku z tym ponowna analiza mająca na celu weryfikację tego, czy wcześniejsza odmowa udzielenia dostępu do danych osobowych pozostaje uzasadniona w świetle art. 13 i 20 rozporządzenia nr 45/2001, prowadzi do przyjęcia aktu, który nie potwierdza wyłącznie wcześniejszego aktu, lecz stanowi zaskarżalny akt mogący być przedmiotem skargi o stwierdzenie nieważności na podstawie art. 263 TFUE.
52 W niniejszym przypadku w dniu 21 września 2016 r. skarżący złożył do Komisji wniosek o udzielenie dostępu do jego zawartych w różnego rodzaju dokumentach danych osobowych. Z pkt 50 powyżej wynika, że Komisja miała obowiązek przeanalizowania tego wniosku. Jak więc zostało podniesione w pkt 42 powyżej, należy uznać, że Komisja wydała rozstrzygnięcie w sprawie tego wniosku i w zaskarżonym piśmie odmówiła uwzględnienia zawartych w nim żądań. W tych okolicznościach, uwzględniając zasadę określoną w pkt 51 powyżej, zaskarżone pismo stanowi akt zaskarżalny niezależnie od tego, że już wcześniej, w decyzji z dnia 8 marca 2016 r., Komisja częściowo odmówiła mu udzielenia dostępu do tych danych. Instytucja ta nie może więc skutecznie powoływać się na wyłącznie potwierdzający charakter zaskarżonego pisma.
53 W drugiej kolejności, nawet przy założeniu, że orzecznictwo, o którym mowa w pkt 45 powyżej, ma zastosowanie w niniejszym przypadku, dany akt można uznać za wyłącznie potwierdzający wcześniejszą decyzję tylko wówczas, gdy nie zawiera on w stosunku do tego poprzedniego aktu żadnego nowego elementu (wyroki: z dnia 10 grudnia 1980 r., Grasselli/Komisja, 23/80, EU:C:1980:284, pkt 18; z dnia 31 maja 2017 r., DEI/Komisja, C‑228/16 P, EU:C:2017:409, pkt 33). Ponadto złożenie wniosku o ponowne rozpatrzenie decyzji, która stała się ostateczna, może być uzasadnione zaistnieniem nowych istotnych okoliczności (zob. wyrok z dnia 7 lutego 2001 r., Inpesca/Komisja, T‑186/98, EU:T:2001:42, pkt 47 i przytoczone tam orzecznictwo). Podobnie skargę na odmowną decyzję w sprawie wniosku o ponowne rozpatrzenie decyzji, która stała się ostateczna, uznaje się za dopuszczalną, jeżeli zaistniały nowe, istotne okoliczności faktyczne (zob. podobnie wyrok z dnia 7 lutego 2001 r., Inpesca/Komisja, T‑186/98, EU:T:2001:42, pkt 49). Okoliczności faktyczne należy uznać za „nowe i istotne”, jeśli, po pierwsze, ani strona skarżąca, ani administracja nie są czy też nie były w stanie wiedzieć o nich w momencie wydawania wcześniejszej decyzji i, po drugie, okoliczności te mogą w istotny sposób zmienić sytuację strony skarżącej w porównaniu do tej, na podstawie której wydano wcześniejszą decyzję, która stała się ostateczna (zob. podobnie wyrok z dnia 7 lutego 2001 r., Inpesca/Komisja, T‑186/98, EU:T:2001:42, pkt 50, 51).
54 W niniejszym przypadku skarżący celem wykazania istnienia nowych i istotnych okoliczności faktycznych opiera się w szczególności na fakcie zamknięcia dochodzenia administracyjnego w dniu 31 sierpnia 2016 r.
55 Komisja odpiera, że w swym wniosku z dnia 21 września 2016 r. skarżący ograniczył się do podziękowania DG ds. Bezpieczeństwa za poinformowanie go w dniu 14 września 2016 r. o zamknięciu dochodzenia administracyjnego i że bynajmniej przy tej okazji nie podniósł, iż to zamknięcie dochodzenia stanowi nową, istotną okoliczność faktyczną mogącą uzasadnić ponowne rozpatrzenie decyzji z dnia 8 marca 2016 r.
56 W tym względzie należy przypomnieć, że żaden z zawartych w rozporządzeniu nr 45/2001 przepisów, a zwłaszcza jego art. 13, w którym jest mowa o prawie do dostępu „bez ograniczeń”, nie nakłada na osobę, której dane dotyczą („podmiot danych”) obowiązku uzasadnienia czy też umotywowania swego wniosku o udzielenie dostępu do jej danych osobowych. Wynika z tego, że w dziedzinie dostępu do danych osobowych strona skarżąca może powołać się przed Sądem na istnienie, w dniu wydania zaskarżanego aktu, nowych istotnych okoliczności faktycznych, które uzasadniają przeprowadzenie ponownego badania wniosku, choć w tym wniosku ich nie wskazała.
57 W tych okolicznościach i uwzględniając to, że Komisja w momencie otrzymania wniosku z dnia 21 września 2016 r. wiedziała już o zamknięciu dochodzenia administracyjnego, skarżący może – celem ustalenia, że zaistniała nowa istotna okoliczność faktyczna – skutecznie powoływać się przed Sądem na zamknięcie dochodzenia administracyjnego.
58 Należy zaś zauważyć, po pierwsze, że do zdarzenia tego doszło już po wydaniu decyzji z dnia 8 marca 2016 r., efektem czego jest ono „nowe” w rozumieniu orzecznictwa przytoczonego w pkt 53 powyżej.
59 Po drugie, zdarzenie to jest również istotne – w rozumieniu tego samego orzecznictwa. Należy bowiem przypomnieć, że odmawiając skarżącemu w decyzji z dnia 8 marca 2016 r. udzielenia dostępu do niektórych jego danych osobowych, DG ds. Bezpieczeństwa oparła się, w zależności od rodzaju przedmiotowych danych, z jednej strony, na przewidzianym w art. 20 ust. 1 lit. a) rozporządzenia nr 45/2001 wyjątku, który ma na celu „zapobieganie, dochodzenie, wykrywanie i karanie przestępstw” oraz, po drugie, na wyjątku przewidzianym w art. 20 ust. 1 lit. c) tego rozporządzenia, który w szczególności ma na celu zagwarantowanie „ochrony […] praw i wolności innych osób”. W odniesieniu do przewidzianego w art. 20 ust. 1 lit. a) rozporządzenia nr 45/2001 wyjątku DG ds. Bezpieczeństwa wskazała, że ujawnienie rozpatrywanych danych spowodowałoby wyjawienie używanych przez nią narzędzi i metod dochodzeniowych. W odniesieniu do wyjątku, o którym mowa w art. 20 ust. 1 lit. c) tego rozporządzenia, dyrekcja ta wyjaśniła, że ujawnienie przedmiotowych danych naruszyłoby prawa innych osób, których dane osobowe były przetwarzane, a mianowicie świadków i informatorów przesłuchiwanych w ramach dochodzenia administracyjnego. W związku z tym należy uznać, że podstawy częściowej odmowy dostępu udzielonej skarżącemu w decyzji z dnia 8 marca 2016 r. były co najmniej pośrednio związane z prowadzonym przeciwko niemu dochodzeniem administracyjnym. W związku z tym nie można wykluczyć, że w efekcie zamknięcia tego dochodzenia sytuacja skarżącego uległa znacznej zmianie.
60 Wniosku tego nie można zakwestionować za pomocą podnoszonej przez Komisję argumentacji, zgodnie z którą nienarażanie na ujawnienie stosowanych przez DG ds. Bezpieczeństwa narzędzi i metod dochodzeniowych, z jednej strony, i ochrona świadków i informatorów, z drugiej strony, są nadal konieczne, również po zakończeniu dochodzenia administracyjnego. W ramach tej argumentacji Komisja całkowicie uzależnia dopuszczalność żądania stwierdzenia nieważności od tego, czy ponowna odmowa udzielenia skarżącemu dostępu byłaby zasadna. Do tego, aby można było stwierdzić, że zamknięcie dochodzenia administracyjnego stanowi nową i istotną okoliczność faktyczną uzasadniającą ponowne rozpatrzenie sytuacji skarżącego, wystarczy zaś podnieść, iż zdarzenie to może mieć wpływ na zastosowanie przewidzianych w art. 20 ust. 1 lit. a) i c) rozporządzenia nr 45/2001 wyjątków, bez uszczerbku dla możliwości odmówienia skarżącemu, już po przeprowadzeniu ponownej analizy po raz wtóry dostępu – jeśli jest to uzasadnione, to również ze względu na te same wyjątki.
61 Wynika z tego, że zamknięcie dochodzenia administracyjnego stanowiło nową, istotną okoliczność faktyczną mogącą uzasadnić ponowne rozpatrzenie tego, czy skarżącemu przysługuje prawo do dostępu do jego danych osobowych.
62 To ponowne rozpatrzenie jest w niniejszym przypadku uzasadnione, tym bardziej że skarżący skierował do DG ds. Bezpieczeństwa ponowny wniosek o udzielenie dostępu do swych danych osobowych dopiero po upływie rozsądnego terminu. Wniosek z dnia 21 września 2016 r. został bowiem złożony dopiero po upływie ponad sześciu miesięcy od udzielenia skarżącemu częściowej odmowy zawartej w decyzji z dnia 8 marca 2016 r.
63 W tych okolicznościach twierdzenie przez Komisję, że zaskarżone pismo stanowi akt wyłącznie potwierdzający decyzję z dnia 8 marca 2016 r., jest w każdym razie bezzasadne.
– W przedmiocie interesu prawnego skarżącego
64 Komisja uważa, że skarżący, ze względu na to, iż uzyskał już dostęp do wszystkich lub części swoich danych osobowych, a w szczególności wszystkich danych zawartych w dokumentach należących do grupy A, a także ze względu na to, iż w rzeczywistości dąży do uzyskania dostępu do dokumentów, nie ma rzeczywistego interesu prawnego we wniesieniu skargi na zaskarżone pismo.
65 Choć skarżący nie kwestionuje konkretnie podnoszonej przez Komisję argumentacji, z całokształtu jego pism wynika, że uważa on, iż instytucja ta w drodze zaskarżonego pisma niesłusznie pozbawiła go dostępu do jego danych osobowych.
66 Zgodnie z utrwalonym orzecznictwem skarga o stwierdzenie nieważności wniesiona przez osobę fizyczną lub prawną jest dopuszczalna tylko wówczas, gdy strona skarżąca ma interes w stwierdzeniu nieważności zaskarżonego aktu. Interes ten zakłada, że stwierdzenie nieważności tego aktu może samo w sobie wywołać skutki prawne i że w wyniku skargi strona skarżąca będzie mogła uzyskać jakąś korzyść (wyroki: z dnia 17 września 2009 r., Komisja/Koninklijke FrieslandCampina, C‑519/07 P, EU:C:2009:556, pkt 63; z dnia 17 września 2015 r., Mory i in./Komisja, C‑33/14 P, EU:C:2015:609, pkt 55).
67 W niniejszym przypadku, jak już wspomniano w pkt 42 powyżej, należy uznać, że Komisja w zaskarżonym piśmie odmówiła skarżącemu udzielenia dostępu do wszystkich wymienionych we wniosku z dnia 21 września 2016 r. danych osobowych.
68 Niewątpliwie prawdą jest, że skarżący uzyskał już wcześniej dostęp do niektórych ze swoich danych osobowych. W tabeli załączonej do decyzji z dnia 8 marca 2016 r. Komisja podała mu bowiem pewne dane, w odniesieniu do których nie powołała się ona na żadne z przewidzianych w art. 20 rozporządzenia nr 45/2001 wyjątków i ograniczeń. Chodzi tu, po pierwsze, o wszystkie dane osobowe, które zostały zidentyfikowane przez Komisję w dokumentach należących do grupy A, z wyłączeniem dokumentu nr 56, oraz, po drugie, o część danych osobowych zidentyfikowanych przez Komisję w dokumentach należących do grup B, C i D oraz w dokumencie nr 56.
69 Niemniej jednak, jak zostało to już podniesione w pkt 46 powyżej, na gruncie rozporządzenia nr 45/2001 osobie, której dane są przetwarzane („podmiotowi danych”) przysługuje prawo do ciągłego i stałego dostępu do swoich danych osobowych. W ramach tego prawa osoba ta może, między innymi, złożyć wniosek o udzielenie jej dostępu do danych osobowych, również w przypadku, gdy mogła ona uzyskać już dostęp do całości lub części tych danych, np. w celu upewnienia się, że faktycznie zidentyfikowano i przekazano jej wszystkie posiadane przez instytucję dane osobowe czy też w celu ustalenia, czy dane te są nadal przetwarzane przez tę instytucję, a jeśli tak, to czy zostały one zmodyfikowane.
70 Ponadto, choć prawdą jest, że skarżący nie może, za pomocą wniosku o udzielenie dostępu do jego danych osobowych, uzyskać dostępu do dokumentów zawierających takie dane, okoliczność ta sama w sobie pozostaje bez wpływu na interes, jaki ma ten skarżący w uzyskaniu dostępu do swych danych osobowych.
71 W tych okolicznościach stwierdzenie nieważności zaskarżonego pisma, w którym odmówiono skarżącemu dostępu do całokształtu jego danych osobowych zawartych w dokumentach wymienionych we wniosku z dnia 21 września 2016 r., może pociągnąć za sobą skutki prawne dla skarżącego i przysporzyć mu korzyści.
72 Wynika z tego, że podniesione żądania stwierdzenia nieważności są dopuszczalne, a podniesione przez Komisję przeszkody procesowe nie mogą zostać uwzględnione.
W przedmiocie zasadności żądań stwierdzenia nieważności
73 Na poparcie swojego żądania stwierdzenia nieważności skarżący twierdzi, że wydając zaskarżone pismo, jego autor nie uczynił zadość przewidzianemu w art. 296 TFUE obowiązkowi uzasadnienia. Jego zdaniem pismo to ogranicza się do odesłania do decyzji z dnia 8 marca 2016 r. i nie przedstawiono w nim powodów, dla których nie mógłby on uzyskać dostępu do swych danych osobowych. Decyzja z dnia 8 marca 2016 r. nie została uzasadniona w zakresie dotyczącym danych osobowych zawartych w dokumentach należących do grupy A, efektem czego również zaskarżone pismo jest dotknięte brakiem uzasadnienia. Jeżeli chodzi o dane osobowe zawarte w dokumentach należących do grup B, C i D, w zaskarżonym piśmie nie wyjaśniono, w jaki sposób zastosowanie przewidzianych w art. 20 ust. 1 lit. a) i c) rozporządzenia nr 45/2001 wyjątków i ograniczeń, które zostały wskazane w decyzji z dnia 8 marca 2016 r., pozostaje uzasadnione również po zamknięciu dochodzenia administracyjnego, podczas gdy do DG ds. Bezpieczeństwa został złożony nowy wniosek o udzielenie, w okrojonej formie, dostępu do tych danych.
74 Komisja kwestionuje argumentację skarżącego. Podnosi ona, po pierwsze, że nie istniał wymóg przedstawienia szczególnego uzasadnienia w odniesieniu do danych osobowych zawartych w dokumentach grupy A, do których skarżący miał już dostęp, i, po drugie, że skarżący ten został już wystarczająco poinformowany, za pomocą informacji zawartych w załączonej do decyzji z dnia 8 marca 2016 r. tabeli, o powodach, dla których niektóre dane osobowe zawarte w dokumentach należących do grup B, C i D nie zostały mu udostępnione.
75 Należy przypomnieć, że, zgodnie z utrwalonym orzecznictwem uzasadnienie, jakiego wymaga art. 296 TFUE, powinno być dostosowane do charakteru aktu i powinno przedstawiać w sposób jasny i jednoznaczny rozumowanie instytucji, która wydała akt, pozwalając zainteresowanym poznać podstawy podjętej decyzji, a właściwemu sądowi dokonać jej kontroli. Ten wymóg uzasadnienia należy oceniać w świetle okoliczności konkretnej sprawy, w szczególności w świetle treści aktu, charakteru podniesionych argumentów, a także interesu, jaki w uzyskaniu wyjaśnień mogą mieć adresaci aktu lub inne osoby, których dotyczy on bezpośrednio i indywidualnie. Nie ma wymogu, by uzasadnienie wyszczególniało wszystkie istotne okoliczności faktyczne i prawne, ponieważ ocena, czy uzasadnienie aktu spełnia wymogi art. 296 TFUE, winna nie tylko opierać się na jego brzmieniu, ale także uwzględniać jego kontekst, jak również całość przepisów prawa regulującego daną dziedzinę (wyroki: z dnia 2 kwietnia 1998 r., Komisja/Sytraval i Brink’s France, C‑367/95 P, EU:C:1998:154, pkt 63; z dnia 1 lipca 2008 r., Chronopost i La Poste/UFEX i in., C‑341/06 P i C‑342/06 P, EU:C:2008:375, pkt 88).
76 Ponadto z art. 20 ust. 3 rozporządzenia nr 45/2001 wynika, że jeżeli wobec osoby, której dane dotyczą („podmiotu danych”), zastosowane zostały przewidziane w ust. 1 tego przepisu wyjątek lub ograniczenie, należy poinformować tę osobę o podstawowych powodach, dla których zastosowano ten wyjątek czy też ograniczenie.
77 W niniejszej sprawie należy stwierdzić, że zaskarżone pismo, którego brzmienie zostało przedstawione w pkt 14 powyżej, jest samo w sobie niemal pozbawione jakiegokolwiek uzasadnienia faktycznego i prawnego. Pismo to nie zawiera bowiem żadnego samodzielnego uzasadnienia. Nie wyjaśniono w nim powodów, dla których skarżącemu nie można zezwolić na uzyskanie dostępu do danych osobowych wskazanych we wniosku z dnia 21 września 2016 r. Autor zaskarżonego pisma ogranicza się bowiem do odesłania do decyzji z dnia 8 marca 2016 r. oraz do decyzji EIOD z dnia 25 lipca 2016 r., i wyciąga na ich podstawie wniosek, że nie naruszyły one przysługującego skarżącemu prawa do dostępu do swych danych osobowych. W piśmie tym stwierdzono jedynie, bez żadnych dodatkowych wyjaśnień, że, uwzględniając dokonaną przez EIOD ocenę, wniosek o udzielenie dostępu został „[prawidłowo] rozpatrzony”.
78 Należy zasygnalizować, że w pewnych przypadkach może zostać dopuszczone uzasadnienie przez odesłanie (zob. podobnie wyrok z dnia 19 listopada 1998 r., Parlament/Gaspari, C‑316/97 P, EU:C:1998:558, pkt 27). W szczególności orzecznictwo dopuszcza uzasadnienie przez odesłanie do wcześniejszej decyzji [zob. podobnie wyroki: z dnia 12 maja 2016 r., Zuffa/EUIPO (ULTIMATE FIGHTING CHAMPIONSHIP), T‑590/14, niepublikowany, EU:T:2016:295, pkt 43; z dnia 5 lutego 2018 r., Edeka-Handelsgesellschaft Hessenring/Komisja, T‑611/15, EU:T:2018:63, pkt 32–38].
79 Należy zatem dokonać oceny tego, czy odesłanie do decyzji z dnia 8 marca 2016 r. i do decyzji EIOD z dnia 25 lipca 2016 r. stanowi wystarczające uzasadnienie zaskarżonego pisma.
80 W tym względzie należy przede wszystkim zauważyć, że w odniesieniu do danych osobowych zawartych w dokumentach należących do grupy A (z wyjątkiem dokumentu nr 56), tabela załączona do decyzji z dnia 8 marca 2016 r., w której w całości uwzględniono wniosek o udzielenie dostępu – przynajmniej w odniesieniu do danych osobowych, które zostały zidentyfikowane przez Komisję w przedmiotowych dokumentach – nie zawierała żadnych powodów udzielenia odmowy dostępu. W związku z tym odesłanie do decyzji z dnia 8 marca 2016 r. nie może stanowić uzasadnienia odmowy udzielenia dostępu do wszystkich danych osobowych zawartych w dokumentach należących do grupy A, przedstawionej skarżącemu po raz pierwszy w zaskarżonym piśmie.
81 Następnie, jeśli chodzi o dane osobowe zawarte w dokumentach należących do grup B, C i D, należy przypomnieć, że, jak wspomniano w pkt 52 i 61 powyżej, Komisja była zobowiązana zbadać, czy odmowa udzielenia skarżącemu dostępu zawarta w decyzji z dnia 8 marca 2016 r. jest nadal uzasadniona. W tym celu miała ona w szczególności obowiązek sprawdzić, w odniesieniu do wszystkich rozpatrywanych danych osobowych, czy zastosowanie przewidzianych w art. 20 ust. 1 lit. a) i c) rozporządzenia nr 45/2001 wyjątków i ograniczeń wskazanych w decyzji z dnia 8 marca 2016 r. pozostaje nadal uzasadnione, uwzględniając ewentualną zmianę sytuacji prawnej lub faktycznej. W szczególności Komisja była zobowiązana do uwzględnienia okoliczności polegających na tym, że dochodzenie administracyjne zostało w międzyczasie zakończone i że upłynął okres dłuższy niż sześć miesięcy.
82 Należy zaś stwierdzić, po pierwsze, że zaskarżone pismo nie zawiera żadnego elementu uzasadnienia dotyczącego konkretnej i szczegółowej weryfikacji przysługującego skarżącemu prawa do uzyskania dostępu do swoich danych osobowych. Nie zawiera ona też bynajmniej elementów uzasadnienia, które odnosiłyby się do ewentualnego wpływu, jaki mogłyby mieć na to prawo okoliczności wskazane w pkt 81 powyżej. Po drugie, samo odesłanie do decyzji z dnia 8 marca 2016 r. i do decyzji EIOD z dnia 25 lipca 2016 r. nie może ewidentnie stanowić odpowiedniego i wystarczającego uzasadnienia, a ponowna, udzielona po przeprowadzeniu powtórnej analizy odmowa nie może z definicji opierać się wyłącznie na podstawach przedstawionych w decyzjach wydanych przed przeprowadzeniem tej powtórnej analizy. Tak więc odsyłając do tych dwóch decyzji, Komisja nie wywiązała się z obowiązku uzasadnienia w odniesieniu do odmowy udzielenia dostępu do danych osobowych zawartych w dokumentach należących do grup B, C i D, przedstawionej skarżącemu ponownie w zaskarżonym piśmie.
83 Wynika z tego, że zarzut oparty na naruszeniu obowiązku uzasadnienia należy przyjąć.
84 Należy więc stwierdzić nieważność zaskarżonego pisma w zakresie, w jakim oddalono w nim złożony przez skarżącego wniosek o udzielenie mu dostępu do pewnych dotyczących go danych osobowych.
W przedmiocie środka, o którego zarządzenie wniósł skarżący
85 Skarżący wnosi o nakazanie Komisji przedstawienia dokumentu nr 57.
86 Niemniej jednak wnioskowany środek jest związany, jak przyznał na rozprawie skarżący, z podnoszonymi przezeń żądaniami odszkodowawczymi. Ze względu na to, że, co zostało odnotowane, skarżący wycofał te żądania (pkt 27 powyżej), przedstawienie dokumentu nr 57 nie ma w ramach niniejszego sporu żadnej wartości.
87 W związku z tym złożonego przez skarżącego wniosku nie można uwzględnić.
W przedmiocie kosztów
88 Zgodnie z art. 134 § 1 regulaminu postępowania kosztami zostaje obciążona, na żądanie strony przeciwnej, strona przegrywająca sprawę.
89 Ponieważ Komisja przegrała sprawę w zasadniczej części podniesionych przez nią argumentów, należy ją, zgodnie z żądaniem skarżącego, obciążyć kosztami, bez konieczności uwzględnienia częściowego cofnięcia przezeń żądań odszkodowawczych.
Z powyższych względów
SĄD (dziewiąta izba w składzie powiększonym)
orzeka, co następuje:
1) Stwierdza się nieważność pisma dyrektora Dyrekcji Generalnej ds. Zasobów Ludzkich i Bezpieczeństwa Komisji Europejskiej z dnia 12 października 2016 r. w zakresie, w jakim oddalono w nim złożony w dniu 21 września 2016 r. przez RE wniosek o udzielenie mu dostępu do pewnych dotyczących go danych osobowych.
2) Komisja zostaje obciążona kosztami postępowania.
Gervasoni | Madise | da Silva Passos |
Kowalik-Bańczyk | | Mac Eochaidh |
Wyrok ogłoszono na posiedzeniu jawnym w Luksemburgu w dniu 14 lutego 2019 r.
Podpisy