OPINIA RZECZNIKA GENERALNEGO
GIOVANNIEGO PITRUZZELLI
przedstawiona w dniu 9 czerwca 2022 r.(1)
Sprawa C‑154/21
RW
przeciwko
Österreichische Post AG
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Oberster Gerichtshof (sąd najwyższy, Austria)]
Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 15 ust. 1 lit. c) – Prawo dostępu przysługujące osobie, której dane dotyczą – Informacje o konkretnych odbiorcach lub kategoriach odbiorców, którym dane zostały ujawnione
1. Jeżeli osoba, której dane osobowe są przetwarzane, chce uzyskać od administratora informacje o osobach trzecich, którym dane te są ujawniane, to czy jej prawo dostępu do danych musi koniecznie oznaczać, że otrzyma ona informacje o konkretnych odbiorcach, którym ujawniono dotyczące jej dane osobowe, czy też administrator danych może ograniczyć się do udzielenia wskazówek jedynie o kategoriach odbiorców, którym te dane zostały ujawnione?
2. Takie jest w istocie pytanie zadane Trybunałowi w niniejszym odesłaniu prejudycjalnym, wniesionym przez Oberster Gerichtshof (sąd najwyższy, Austria), sąd odsyłający, dotyczącym wykładni art. 15 ust. 1 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)(2) (zwanego dalej „RODO”).
3. Pytanie postawione przez sąd odsyłający powstało w ramach sporu pomiędzy RW, osobą fizyczną, a Österreichische Post, głównym operatorem usług pocztowych i logistycznych w Austrii, który w następstwie wniosku RW o udostępnienie mu danych osobowych nie przekazał mu informacji o poszczególnych odbiorcach, którym ujawniono jego dane osobowe.
I. Ramy prawne
4. Artykuł 15 RODO, zatytułowany „Prawo dostępu przysługujące osobie, której dane dotyczą”, stanowi w ust. 1 lit. c):
„1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
[…]
c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
[…]”.
II. Okoliczności faktyczne, postępowanie główne i pytanie prejudycjalne
5. W dniu 15 stycznia 2019 r. RW, skarżący przed sądem odsyłającym, zwrócił się do Österreichische Post o uzyskanie dostępu na podstawie art. 15 RODO, między innymi, do dotyczących go danych osobowych, które Österreichische Post przechowuje lub które ten podmiot przechowywał w przeszłości, a także, w przypadku ujawnienia tych danych osobom trzecim, do tożsamości odbiorców tych ujawnień.
6. W odpowiedzi Österreichische Post stwierdził, że wykorzystywał dane, w zakresie dopuszczalnym przez prawo, w ramach swojej działalności jako wydawca książek adresowych i oferował je klientom biznesowym do celów marketingowych. Następnie odesłał do strony internetowej, z której wynikały ogólne informacje na temat celów przetwarzania danych RW, która to strona odsyłała do innej strony internetowej. Natomiast ta druga strona internetowa zawierała informacje ogólne w sprawie ochrony danych, oraz umożliwiała ustalenie w sposób ogólny pewnych kategorii odbiorców, którym Österreichische Post ujawniał dane osobowe. Jednakże Österreichische Post nigdy nie przekazał RW tożsamości konkretnych odbiorców, którym ujawniono jego dane.
7. RW wniósł o nakazanie Österreichische Post udzielenia mu dokładniejszej informacji zgodnie z art. 15 RODO, dotyczącej tego, czy jego dane osobowe zostały przekazane osobom trzecim, a jeśli takie przekazanie miało rzeczywiście miejsce, to również informacji o odbiorcy lub konkretnych odbiorcach, któremu/którym jego dane osobowe zostały lub zostaną ujawnione. RW podnosi, że informacje przedstawione przez Österreichische Post nie spełniają wymogów prawnych określonych w art. 15 RODO, ponieważ nie wynika z nich, czy Österreichische Post ujawnił jego dane osobowe osobom trzecim, a jeżeli doszło do rzeczywistego ujawnienia, kim byli konkretni odbiorcy, którym ujawniono te dane.
8. Sądy pierwszej instancji i apelacyjny oddaliły żądanie RW, uznając zasadniczo, że art. 15 ust. 1 lit. c) RODO, który odnosi się do odbiorców lub kategorii odbiorców, przyznaje administratorowi możliwość ograniczenia się do poinformowania osoby, której dane dotyczą, o kategorii odbiorców, bez konieczności wskazania z nazwy konkretnych odbiorców, którym ujawnione zostają jej dane osobowe.
9. RW podtrzymał swoje żądania w ramach skargi kasacyjnej wniesionej do sądu odsyłającego.
10. W toku postępowania przed tym sądem Österreichische Post poinformował RW, że jego dane były przetwarzane w celach marketingowych w ramach wydanej książki adresowej i były przekazywane klientom biznesowym, w tym przedsiębiorstwom prowadzącym akcje reklamowe zajmującym się sprzedażą wysyłkową i handlem stacjonarnym, przedsiębiorstwom informatycznym, wydawcom książek adresowych oraz stowarzyszeniom, takim jak organizacje charytatywne, organizacje pozarządowe czy partie polityczne. Nie wskazał on jednak konkretnych odbiorców, którym ujawniono dane RW.
11. W tych okolicznościach sąd odsyłający ma wątpliwości co do wykładni art. 15 RODO przyjętej przez sądy orzekające co do istoty i w związku z tym postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym:
„Czy wykładni art. 15 ust. 1 lit. c) [RODO] należy dokonywać w ten sposób, że prawo do informacji jest ograniczone do kategorii odbiorców w sytuacji, gdy nie są jeszcze znani konkretni odbiorcy planowanych ujawnień, jednakże gdy dane zostały już ujawnione, prawo to musi obejmować również odbiorców tych ujawnień danych?”.
III. Analiza prawna
12. W swoim pytaniu prejudycjalnym sąd odsyłający zwraca się do Trybunału o dokonanie wykładni art. 15 ust. 1 lit. c) RODO w odniesieniu do zakresu przewidzianego w tym artykule prawa osoby, której dane dotyczą, do uzyskania od administratora informacji dotyczących odbiorców lub kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione.
13. Sąd odsyłający zastanawia się, czy przepis ten należy interpretować w ten sposób, że zakres wspomnianego prawa dostępu przysługującego osobie, której dane dotyczą, należy odróżnić w zależności od tego, czy dane zostały już przekazane – w którym to przypadku prawo to powinno rozciągać się na konkretnych odbiorców tych ujawnień – lub też czy konkretni odbiorcy, którym zostaną w przyszłości ujawnione, nie są jeszcze znani – w którym to przypadku prawo to należy uznać za ograniczone do informacji dotyczących kategorii odbiorców.
14. W tym względzie należy przede wszystkim zauważyć, że art. 15 RODO reguluje prawo osoby, której dane dotyczą, względem administratora, obejmujące dostęp do dotyczących jej danych osobowych będących przedmiotem przetwarzania, jak również do szeregu informacji dotyczących w szczególności samego przetwarzania. Przepis ten konkretyzuje i precyzuje prawo każdej osoby do dostępu do dotyczących jej danych, wskazane w art. 8 ust. 2 zdanie drugie karty praw podstawowych Unii Europejskiej(3).
15. Dokładniej rzecz ujmując, zgodnie z art. 15 ust. 1 RODO osoba, której dane dotyczą, jest, po pierwsze, uprawniona do uzyskania od administratora potwierdzenia, czy miało miejsce przetwarzanie danych osobowych, które jej dotyczą. Jeżeli przetwarzanie miało miejsce, osoba, której dane dotyczą, ma prawo dostępu do danych osobowych poddanych przetwarzaniu oraz do różnych dodatkowych informacji, wymienionych szczegółowo w lit. a)–h) tego przepisu. W tym kontekście zgodnie z art. 15 ust. 1 lit. c) RODO osoba, której dane dotyczą, ma prawo dostępu do informacji o „odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych”.
16. Pytanie prejudycjalne zadane przez sąd odsyłający wymaga dokonania wykładni przepisu art. 15 ust. 1 lit. c) RODO w celu ustalenia dokładnego zakresu, przewidzianego w tym artykule uprawnienia osoby, której dane dotyczą, wspomnianego w tym artykule, do uzyskania informacji o odbiorcach, którym ujawnione zostają jej dane osobowe.
17. W tym względzie należy przypomnieć, że z utrwalonego orzecznictwa wynika, iż wykładnia przepisu prawa Unii wymaga uwzględnienia nie tylko jego brzmienia, lecz także kontekstu, w jaki się on wpisuje, oraz celów realizowanych przez akt, którego jest on częścią(4).
18. Ponadto przepisy RODO regulujące kwestię przetwarzania danych osobowych mogących naruszyć podstawowe wolności, a w szczególności prawo do poszanowania życia prywatnego, należy bezwzględnie interpretować z punktu widzenia praw podstawowych gwarantowanych w karcie(5).
19. Następnie z utrwalonego orzecznictwa wynika, że jeżeli dany przepis prawa Unii może być przedmiotem kilku wykładni, pierwszeństwo należy dać tej, która pozwoli na zapewnienie jego skuteczności (effet utile)(6).
20. Co się tyczy przede wszystkim brzmienia rozpatrywanego przepisu, jak zostało zauważone przez sam sąd odsyłający oraz szereg interwenientów w postępowaniu przed Trybunałem, dosłowne brzmienie przepisu art. 15 ust. 1 lit. c) RODO nie pozwala na udzielenie ostatecznej odpowiedzi na pytanie, czy przewidziane w nim prawo dostępu przysługujące osobie, której dane dotyczą, należy koniecznie traktować jako obejmujące dostęp do informacji o poszczególnych odbiorcach, którym ujawnione zostają dotyczące jej dane osobowe, czy też może ono być ograniczone jedynie do dostępu do informacji odnoszących się do kategorii odbiorców. W przepisie tym pojęcia „odbiorcy” i „kategorie odbiorców” są bowiem użyte kolejno po sobie w sposób neutralny, bez możliwości wyprowadzania między nimi porządku pierwszeństwa. Przepis ten nie precyzuje również wyraźnie, czy możliwe jest dokonanie wyboru w odniesieniu do dwóch możliwych do rozważenia kategorii informacji (a mianowicie „odbiorców” lub „kategorii odbiorców”) ani do kogo (czyli do osoby, której dane dotyczą, czy do administratora) należy w razie potrzeby wybór, do jakiego rodzaju informacji należy udzielić dostępu.
21. Moim zdaniem jednak sama struktura art. 15 ust. 1 RODO, co również zauważył sąd odsyłający, prowadzi do uprzywilejowania wykładni rozpatrywanego przepisu w ten sposób, że to do osoby, której dane dotyczą (a zatem nie do administratora, jak orzekły dwa krajowe sądy orzekające co do istoty w niniejszej sprawie), należy dokonanie wyboru pomiędzy dwiema możliwościami, które są w nim przewidziane. W przeciwieństwie do innych przepisów RODO, takich jak art. 13 i 14(7), które są skonstruowane w taki sposób, aby ustanowić obowiązek informowania ciążący na administratorze, przepis ten przewiduje rzeczywiste prawo dostępu na rzecz osoby, której dane dotyczą. Korzystanie z tego prawa dostępu przez osobę, której dane dotyczą, logicznie zakłada przyznanie posiadaczowi tego prawa możliwości wyboru uzyskania dostępu do informacji dotyczących, jeśli jest to możliwe, konkretnych odbiorców, którym dane zostały lub zostaną ujawnione, lub, alternatywnie, do ograniczenia się do żądania informacji dotyczących kategorii odbiorców.
22. Wykładnię art. 15 ust. 1 lit. c) RODO, zgodnie z którą przewiduje on prawo osoby, której dane dotyczą, do zażądania, w możliwym zakresie, dostępu do informacji o konkretnych odbiorcach, którym ujawnione zostają jej dane osobowe, potwierdza zresztą analiza zarówno kontekstu, w jaki się on wpisuje, jak i celów samego przepisu w świetle założeń i ogólnej systematyki właściwych RODO.
23. W tym względzie pragnę przede wszystkim zauważyć, że motyw 63 RODO przewiduje wyraźnie, iż osoba, której dane dotyczą, powinna „mieć prawo do wiedzy i informacji, w szczególności w zakresie […] odbiorców danych osobowych”. Motyw ten, w świetle którego należy interpretować rozpatrywany przepis, dotyczy prawa dostępu osoby, której dane dotyczą, do informacji w zakresie konkretnych odbiorców, którym ujawnione zostają jej dane osobowe, i nie wspomina w żaden sposób, że prawo to może być ograniczone, wedle uznania administratora, wyłącznie do kategorii odbiorców.
24. Ponadto z orzecznictwa wynika wyraźnie, że RODO ma w szczególności na celu, jak wynika z jego motywu 10, zapewnienie wysokiego poziomu ochrony osób fizycznych w Unii i w tym celu zapewnienie spójnego i jednolitego stosowania zasad ochrony podstawowych praw i wolności tych osób w odniesieniu do przetwarzania danych osobowych w całej Unii(8).
25. W tym celu każde przetwarzanie danych osobowych powinno być zgodne z zasadami określonymi w art. 5 tego rozporządzenia(9). Jak wynika w szczególności z art. 5 ust. 1 lit. a) RODO, dane osobowe muszą być przetwarzane w sposób przejrzysty dla osoby, której dane dotyczą(10). W tym kontekście art. 15 RODO, który reguluje prawo dostępu przysługujące osobie, której dane dotyczą, stanowi podstawowy przepis gwarantujący, że zasady przetwarzania danych będą przejrzyste dla osób, których dane dotyczą.
26. Jak wynika z motywu 63 RODO(11), wspomniane prawo dostępu ma w pierwszej kolejności na celu umożliwienie osobie, której dane dotyczą, uzyskania wiedzy o przetwarzaniu jej danych i jego zgodności z prawem(12). Korzystanie z tego prawa dostępu powinno w szczególności pozwolić osobie, której dane dotyczą, na sprawdzenie nie tylko, czy dotyczące jej dane są prawidłowe, ale także czy zostały przekazane upoważnionym odbiorcom(13). Oznacza to co do zasady, że udzielone wskazówki powinny być jak najbardziej szczegółowe.
27. W tym kontekście zgadzam się z Komisją, że zaprzeczenie, że prawo dostępu osoby, której dane dotyczą, o którym mowa w art. 15 ust. 1 lit. c) RODO, obejmuje konkretnych odbiorców, i ograniczenie tego prawa do samych kategorii odbiorców byłoby równoznaczne z uniemożliwieniem osobie, której dane dotyczą, pełnego sprawdzenia zgodności z prawem przetwarzania danych przez administratora, a w szczególności sprawdzenia zgodności z prawem już dokonanych ujawnień danych. Taka wykładnia omawianego przepisu nie pozwoliłaby osobie, której dane dotyczą, na sprawdzenie, czy jej dane zostały przesłane wyłącznie upoważnionym odbiorcom, wbrew wymogom wskazanym w poprzednim punkcie.
28. W drugiej kolejności, co się tyczy pierwszego celu, to prawo dostępu jest niezbędne, jak zresztą zauważył już Trybunał, dla umożliwienia osobie, której dane dotyczą, wykonywania prawa do sprostowania danych, prawa do usunięcia danych („prawa do bycia zapomnianym”) oraz prawa do ograniczenia przetwarzania, przyznanych jej odpowiednio w art. 16, 17 i 18 RODO(14). Trybunał wyjaśnił również, że prawo dostępu jest niezbędne także dla umożliwienia osobie, której dane dotyczą, wniesienia sprzeciwu wobec przetwarzania jej danych osobowych, o którym mowa w art. 21 RODO, lub prawa do korzystania ze środków prawnych w związku z poniesioną szkodą i otrzymania odszkodowania zgodnie z art. 79 i 82 RODO(15).
29. Wykładnia spornego przepisu odmawiająca osobie, której dane dotyczą, możliwości uzyskania informacji o konkretnych odbiorcach, którym ujawnione zostają jej dane osobowe, skutkowałaby tym, że nie mając wiedzy o ich tożsamości, osoba, której dane dotyczą, nie byłaby w stanie wykonywać w stosunku do nich praw przyznanych jej przez wspomniane przepisy RODO lub mogłaby je wykonywać jedynie niewspółmiernie dużym wysiłkiem(16). Wykładnia ta pozbawiałaby zatem w takich sytuacjach skuteczności (effet utile) wspomniane przepisy i prawa, które one przyznają.
30. Z kontekstowego punktu widzenia wyżej wspomniana wykładnia art. 15 ust. 1 lit. c) RODO znajduje ponadto potwierdzenie również w przepisie zawartym w art. 19 tego samego rozporządzenia. Przepis ten stanowi, że „[a]dministrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16, art. 17 ust. 1 i art. 18, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku”.
31. Artykuł 19 RODO zobowiązuje zatem administratora danych do poinformowania wszystkich odbiorców, którym ujawnił on dane osobowe, o wszelkich wnioskach dotyczących sprostowania, usunięcia lub ograniczenia przetwarzania tych danych, które musi on uwzględnić. Odbiorcy w ten sposób poinformowani są zatem zobowiązani do niezwłocznego dokonania sprostowania, usunięcia lub ograniczenia przetwarzania w zakresie, w jakim znajdują się jeszcze w trakcie opracowywania wspomnianych danych. W ramach realizacji celu polegającego na zapewnieniu wysokiego poziomu ochrony, wspomnianego w pkt 24 powyżej, art. 19 RODO ma w tym znaczeniu zwolnić osoby, której dane dotyczą, z ciężaru – po zwróceniu się o informacje na podstawie art. 15 ust. 1 lit. c) RODO – wysyłania odpowiednich dalszych wniosków o sprostowanie, usunięcie lub ograniczenie do zainteresowanych odbiorców. Jednakże osobie, której dane dotyczą, należy umożliwić sprawdzenie, czy sprostowanie, usunięcie lub ograniczenie faktycznie zostało wykonane w następstwie dokonania powiadomienia przez administratora. W związku z tym art. 19 RODO przewiduje zatem, że administrator powinien poinformować osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.
32. Przepis art. 19 RODO potwierdza, że w celu zagwarantowania skuteczności (effet utile) praw do usunięcia, sprostowania lub ograniczenia przetwarzania przysługujących osobie, której dane dotyczą, przewidzianych w art. 16, 17 i 18 RODO, osobie tej powinno co do zasady przysługiwać prawo do informacji o tożsamości konkretnych odbiorców, jeżeli jej dane osobowe zostały już ujawnione. Tylko w ten sposób osoba, której dane dotyczą, może dochodzić swoich praw wobec tych podmiotów.
33. Z powyższych rozważań wynika, że prawo dostępu przewidziane w art. 15 ust. 1 lit. c) RODO odgrywa funkcjonalną i zasadniczą rolę w stosunku do wykonywania innych uprawnień osoby, której dane dotyczą, określonych w RODO. Wynika z tego, że aby zapewnić skuteczność (effet utile) wszystkich wyżej wymienionych przepisów RODO, przepis ten należy interpretować w ten sposób, że przewidziane w tym przepisie prawo dostępu musi co do zasady bezwzględnie dotyczyć możliwości uzyskania od administratora informacji o konkretnych odbiorcach, którym ujawnione zostają dane osobowe osoby, której dane dotyczą.
34. Rozszerzenie prawa dostępu przewidzianego w art. 15 ust. 1 lit. c) RODO na dostęp do informacji w zakresie konkretnych odbiorców tych ujawnień jest jednak moim zdaniem ograniczone co najmniej w dwóch przypadkach.
35. W pierwszej kolejności, w przypadku gdy jest fizycznie niemożliwe dostarczenie informacji o konkretnych odbiorcach, na przykład ze względu na to, że nie zostali oni jeszcze rzeczywiście zidentyfikowani, nie można w oczywisty sposób wymagać od administratora, by przekazywał informacje, które jeszcze nie istnieją. Tak więc w takiej sytuacji, wyraźnie przewidzianej w pytaniu prejudycjalnym, prawo dostępu osoby, której dane dotyczą, może odnosić się jedynie do kategorii odbiorców.
36. W drugiej kolejności, jak podniósł rząd włoski, wykonywanie prawa dostępu przez osobę, której dane dotyczą, oraz odpowiadającego mu obowiązku administratora musi być rozważane zgodnie z zasadami słuszności i proporcjonalności.
37. W tym względzie należy przypomnieć, że jak wynika z orzecznictwa Trybunału, prawa zagwarantowane w art. 7 i 8 karty nie sposób uznać za stanowiące prerogatywy o charakterze absolutnym, lecz należy je oceniać w świetle ich funkcji społecznej(17).
38. W tym kontekście z jednej strony z art. 12 ust. 5, który wyraźnie znajduje zastosowanie również do przepisu będącego przedmiotem pytania prejudycjalnego, jednoznacznie wynika, że żądania osoby, której dane dotyczą, nie mogą być ewidentnie nieuzasadnione lub nadmierne oraz że w takim przypadku administrator może również odmówić spełnienia żądania. Z tego samego przepisu wynika ponadto, że to na administratorze spoczywa „[o]bowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter”.
39. Z drugiej strony sam Trybunał miał już okazję wyjaśnić, że należy właściwie wyważyć, po pierwsze, interes osoby, której dane dotyczą, w ochronie jej życia prywatnego w szczególności za pośrednictwem praw przewidzianych przez rozdział III RODO oraz możliwości wniesienia środka prawnego, a po drugie, obciążenia, jakie spoczywają na administratorze(18). Takie właściwe wyważenie przemawia za położeniem większego nacisku na ochronę danych i prywatności osoby, której dane dotyczą, co jasno wynika z wymogu, że aby żądanie dostępu osoby, której dane dotyczą, nie zostało uwzględnione, należy udowodnić, że ma ono charakter ewidentnie nieuzasadniony lub nadmierny.
IV. Wnioski
40. W świetle wszystkich powyższych rozważań proponuję Trybunałowi, by na pytanie przedstawione przez Oberster Gerichtshof (sąd najwyższy, Austria) odpowiedział następująco:
Artykuł 15 ust. 1 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że przewidziane w nim prawo dostępu osoby, której dane dotyczą, wskazane w tym przepisie, musi bezwzględnie rozciągać się, zawsze gdy osoba ta tego zażąda, na wskazanie konkretnych odbiorców, którym ujawnione zostają jej dane osobowe. Takie prawo dostępu może być ograniczone wyłącznie do wskazania kategorii odbiorców, w przypadku gdy jest fizycznie niemożliwe zidentyfikowanie konkretnych odbiorców, którym ujawnione zostają dane osobowe odnoszące się do osoby, której dane dotyczą, lub gdy administrator wykaże, że żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne w rozumieniu art. 12 ust. 5 rozporządzenia (UE) 2016/679.