CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:T:2015:926

Sprawa T‑343/13

przeciwko

Parlamentowi Europejskiemu

Odpowiedzialność pozaumowna – Petycja skierowana do Parlamentu – Rozpowszechnianie w serwisie internetowym Parlamentu niektórych danych osobowych – Brak wystarczająco istotnego naruszenie normy prawnej przyznającej uprawnienia jednostkom

Streszczenie – wyrok Sądu (szósta izba) z dnia 3 grudnia 2015 r.

1. Odpowiedzialność pozaumowna – Przesłanki – Bezprawność – Wystarczająco istotne naruszenie prawa Unii – Wymóg oczywistego i poważnego przekroczenia przez instytucje granic ich uprawnień dyskrecjonalnych – Naruszenie przepisów dotyczących ochrony danych osobowych – Zaliczenie

(art. 340 akapit drugi TFUE; Karta praw podstawowych Unii Europejskiej, art. 8; rozporządzenie nr 45/2001 Parlamentu Europejskiego i Rady)

2. Instytucje Unii Europejskiej – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie nr 45/2001 – Dane dotyczące zdrowia – Pojęcie – Wykładnia rozszerzająca – Granice

(rozporządzenie nr 45/2001 Parlamentu Europejskiego i Rady, art. 10 ust. 1)

3. Instytucje Unii Europejskiej – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie nr 45/2001 – Wymóg legalności przetwarzania – Zgoda osoby zainteresowanej – Pojęcie – Wniesienie za pośrednictwem serwisu internetowego Parlamentu Europejskiego petycji zawierającej dane szczególnie chronione – Udzielone składającemu petycję przed jej wniesieniem informacje pozwalające mu na dokonanie oceny publicznej dostępności jego petycji – Legalny charakter przetwarzania

[rozporządzenie nr 45/2001 Parlamentu Europejskiego i Rady, art. 2 lit. h), art. 5 lit. d), art. 10 ust. 2 lit. a)]

4. Odpowiedzialność pozaumowna – Przesłanki – Bezprawność – Wystarczająco istotne naruszenie prawa Unii – Powołanie się na bezprawność wynikającą z naruszenia praw osób trzecich – Niedopuszczalność

(art. 340 akapit drugi TFUE)

5. Instytucje Unii Europejskiej – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie nr 45/2001 – Prawo do usunięcia danych – Przesłanka – Nielegalne przetwarzanie rozpatrywanych danych – Usunięcie nielegalnie przetwarzanych danych na zasadach kurtuazji – Dochowanie rozsądnego terminu

(rozporządzenie nr 45/2001 Parlamentu Europejskiego i Rady, art. 16)

6. Prawa podstawowe – Poszanowanie życia prywatnego – Ochrona danych osobowych – Ujawnienie danych za zgodą osoby, której dotyczą – Ingerencja w życie prywatne – Brak

7. Odpowiedzialność pozaumowna – Przesłanki – Bezprawność – Szkoda – Związek przyczynowy – Przesłanki kumulatywne – Niespełnienie jednej z przesłanek – Oddalenie skargi o odszkodowanie w całości

(art. 340 akapit drugi TFUE)

8. Odpowiedzialność pozaumowna – Przesłanki – Rzeczywista i pewna szkoda spowodowana bezprawnym działaniem – Szkoda i krzywda – Ciężar dowodu

(art. 340 akapit drugi TFUE)

9. Odpowiedzialność pozaumowna – Przesłanki – Związek przyczynowy – Szkoda polegająca na kosztach związanych z postępowaniem poprzedzającym wniesienie skargi – Koszty wynikające z wolnego wyboru skarżącego – Brak związku przyczynowego między szkodą a zachowaniem instytucji

(art. 340 akapit drugi TFUE)

1. W dziedzinie pozaumownej odpowiedzialności Unii warunek bezprawnego zachowania instytucji Unii wymaga wystarczająco istotnego naruszenia normy prawnej przyznającej uprawnienia jednostkom. Decydującym kryterium oceny, czy naruszenie prawa Unii jest wystarczająco istotne, jest przekroczenie przez instytucję Unii przysługującego jej zakresu uznania w sposób oczywisty i poważny.

W tym względzie, ponieważ ustanowione w art. 8 Karty praw podstawowych Unii Europejskiej prawo do ochrony danych osobowych zostało rozwinięte w kontekście aktów instytucji i organów Unii przez rozporządzenie nr 45/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych oraz przez przepisy wykonawcze do tego rozporządzenia przyjęte przez każdą z instytucji nr 45/2001, owe poszczególne przepisy mają na celu przyznanie uprawnień jednostkom. W związku z tym skarżący może się na nie powoływać w ramach skargi odszkodowawczej.

(por. pkt 44, 47)

2. Wyrażeniu „dane dotyczące zdrowia”, zawartemu w art. 10 ust. 1 rozporządzenia nr 45/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, należy nadać szeroką wykładnię, tak aby obejmowało ono informacje dotyczące wszystkich aspektów, zarówno fizycznych, jak i umysłowych, dotyczących zdrowia danej osoby. Niemniej jednak pojęcie to nie może zostać poszerzone do tego stopnia, aby obejmowało wyrażenia niestanowiące ujawnienia jakichkolwiek danych dotyczących zdrowia lub warunków leczenia danej osoby.

(por. pkt 50)

3. Zważywszy, że art. 2 lit. h) rozporządzenia nr 45/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych nie nakłada żadnego warunku co do formy, w jakiej dana osoba musi wyrazić zgodę na przetwarzanie danych osobowych, wniesienie petycji do Parlamentu Europejskiego może zostać uznane za przejaw woli tej osoby.

Uważna lektura przedstawionych przez Parlament w jego serwisie internetowym informacji na temat publicznego charakteru petycji powinna bowiem pozwolić na to, aby rozsądnie uważny składający petycję mógł ocenić zakres swojego działania i jego konsekwencje. W tym względzie w kontekście petycji dotyczącej okoliczności, że instytucja Unii nie uwzględniła do celów kariery w prawidłowy sposób stanu zdrowia składającego petycję będącego urzędnikiem Unii i jego syna, ten przejaw woli jest konkretny, ponieważ w chwili wniesienia tej petycji Parlament poinformował składającego o tym, że jego skarga będzie dostępna w Internecie, a ten ostatni udzielił wyraźnej zgody, zaznaczając na formularzu przypadki dotyczące publicznego rozpatrywania i wpisania do rejestru dostępnego w Internecie, tak że jego zgoda nie musiała wynikać w sposób dorozumiany z jakiegokolwiek działania. W tych okolicznościach należy stwierdzić, że składający petycję udzielił wyraźnej zgody na ujawnienie szczególnie chronionych danych dotyczących jego zdrowia w rozumieniu art. 10 ust. 2 lit. a) rozporządzenia nr 45/2001. Powyższe rozważania odnoszą się mutatis mutandis do przetwarzania danych osobowych innych niż szczególnie chronione dane osobowe składającego petycję.

Ponadto, jeżeli chodzi o dane osobowe nienależące do danych, o których mowa w art. 10 ust. 1 rozporządzenia nr 45/2001, takie jak dane dotyczące kariery skarżącego, ich przetwarzanie podlega systemowi przewidzianemu w art. 5 tego rozporządzenia. Zgodnie z art. 5 lit. d) wspomnianego rozporządzenia przetwarzania można dokonać między innymi wtedy, gdy podmiot danych jednoznacznie wyrazi na to zgodę. Innymi słowy, przetwarzanie może mieć miejsce wówczas, gdy dana osoba udzieliła zgody w sposób oczywisty i jednoznaczny. W tym względzie art. 10 ust. 2 lit. a) rozporządzenia nr 45/2001 wymaga, aby zgoda była wyraźna, natomiast art. 5 lit. d) wspomnianego rozporządzenia wymaga, aby zgoda była jednoznacznie wyrażona. Można logicznie przyjąć, że z uwagi na charakter szczególnie chronionych danych osobowych warunki wymagane dla zgody w rozumieniu art. 5 lit. d) rozporządzenia nr 45/2001 nie mogą być surowsze niż warunki przewidziane w art. 10 ust. 2 lit. a) rzeczonego rozporządzenia.

(por. pkt 59, 70, 74, 76–79)

4. W dziedzinie pozaumownej odpowiedzialności Unii dla zagwarantowania skuteczności warunku dotyczącego naruszenia normy prawa przyznającej prawa jednostkom konieczne jest, aby ochrona udzielona przez powoływany przepis była skuteczna z punktu widzenia osoby, która się na niego powołuje, a zatem aby osoba ta była jedną z osób, którym dany przepis przyznaje te prawa. Nie można dopuścić jako źródła dla odszkodowania normy, która chroni nie daną osobę, lecz inną osobę, przed bezprawnością, na którą się ona powołuje. Z powyższego wynika, że skarżący nie może powoływać się w ramach skargi o odszkodowanie na bezprawność wynikającą z podnoszonego naruszenia praw osób trzecich.

(por. pkt 86)

5. Artykuł 16 rozporządzenia nr 45/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych przyznaje prawo do żądania usunięcia danych osobowych, wyłącznie gdy przetwarzanie jest bezprawne. W związku z tym nie można powoływać się na ten przepis wówczas, gdy przetwarzanie jest zgodne z prawem. Okoliczność, że dana instytucja Unii postanowiła uwzględnić wniosek dotyczący usunięcia danych, nie oznacza sama w sobie uznania bezprawności pierwotnej publikacji.

W tym względzie art. 12 ust. 3 przepisów wykonawczych do rozporządzenia nr 45/2001 przyjętych przez Parlament przewiduje, że w razie przyjęcia wniosku jest on wykonywany niezwłocznie. Powyższy przepis dotyczy sytuacji, w których wniosek został uznany, ponieważ jest on uzasadniony, to znaczy ponieważ przetwarzanie było bezprawne. W tych okolicznościach logiczne jest, że powinien on zostać wykonany niezwłocznie. Z kolei jeżeli wniosek nie jest uzasadniony, lecz został dopuszczony w drodze kurtuazji, nie ma powodu nakładania na Parlament obowiązku niezwłocznego działania. W tym przypadku Parlament jest zobowiązany do kontynuowania postępowania w rozsądnym terminie.

(por. pkt 90, 100)

6. Co się tyczy ujawnienia danych osobowych przez instytucję Unii, nie można stwierdzić, że doszło do ingerencji organu publicznego w życie prywatne w rozumieniu at. 8 europejskiej konwencji praw człowieka, jeżeli dana osoba udziela zgody na ujawnienie informacji.

(por. pkt 107)

7. Zobacz tekst orzeczenia.

(por. pkt 110)

8. Zobacz tekst orzeczenia.

(por. pkt 118, 119)

9. Zobacz tekst orzeczenia.

(por. pkt 123, 124)