NÁVRHY GENERÁLNEHO ADVOKÁTA
GIOVANNI PITRUZZELLA
prednesené 9. júna 2022(1)
Vec C‑154/21
RW
proti
Österreichische Post AG
[návrh na začatie prejudiciálneho konania, ktorý podal Oberster Gerichtshof (Najvyšší súd, Rakúsko)]
„Návrh na začatie prejudiciálneho konania – Ochrana osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 15 ods. 1 písm. c) – Právo dotknutej osoby na prístup k údajom – Informácie o konkrétnom príjemcovi alebo kategóriách príjemcov, ktorým boli poskytnuté údaje“
1. V prípade, že osoba, ktorej osobné údaje sú predmetom spracúvania, chce získať od prevádzkovateľa informácie o tretích stranách, ktorým boli tieto údaje oznámené, jej právo na prístup nevyhnutne znamená, že bude informovaná o konkrétnych príjemcoch poskytnutia jej osobných údajov alebo sa prevádzkovateľ môže obmedziť iba na oznámenie kategórií príjemcov takéhoto poskytnutia?
2. Toto je v podstate otázka, ktorú Súdnemu dvoru položil Oberster Gerichtshof (Najvyšší súd, Rakúsko), vnútroštátny súd v rámci tohto návrhu na začatie prejudiciálneho konania týkajúceho sa výkladu článku 15 ods. 1 písm. c) nariadenia (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)(2) (ďalej len „GDPR“).
3. Otázka, ktorú položil vnútroštátny súd, vznikla v rámci sporu medzi RW, fyzickou osobou, a spoločnosťou Österreichische Post, hlavným prevádzkovateľom poštových a logistických služieb v Rakúsku, ktorá v nadväznosti na žiadosť RW o prístup k jeho osobným údajom mu neoznámila informácie o konkrétnych príjemcoch, ktorým poskytla tieto osobné údaje.
I. Právny rámec
4. Článok 15 nariadenia GDPR s názvom „Právo dotknutej osoby na prístup k údajom“ vo svojom odseku 1 písm. c) stanovuje:
„1. Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak [to] tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:
…
c) príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie;
…“
II. Skutkové okolnosti sporu, konanie vo veci samej a prejudiciálna otázka
5. Dňa 15. januára 2019 sa RW, žalobca pred vnútroštátnym súdom, obrátil na Österreichische Post, aby v súlade s článkom 15 GDPR získal informácie, okrem iného, o osobných údajoch, ktoré Österreichische Post uchováva alebo uchovávala v minulosti, a v prípade, že tieto údaje poskytla tretím stranám, o totožnosti príjemcov takéhoto poskytnutia.
6. Vo svojej odpovedi Österreichische Post uviedla, že používa údaje, pokiaľ je to právne prípustné, v rámci jej činnosti ako vydavateľka zoznamu adries a tieto ponúka zákazníkom na marketingové účely. Potom odkázala na internetovú stránku, na ktorej boli uvedené všeobecné informácie o účele spracovávania údajov RW a ktorá odkazovala na inú internetovú stránku. Na tejto ďalšej internetovej stránke sa opäť nachádzali všeobecné informácie o ochrane údajov, pričom umožňovala všeobecne identifikovať určité kategórie príjemcov, ktorým Österreichische Post poskytla osobné údaje. Österreichische Post však v žiadnom okamihu neoznámila RW konkrétnych príjemcov, ktorým poskytla jeho údaje.
7. RW podal žalobu, ktorou sa domáhal uložiť spoločnosti Österreichische Post povinnosť, aby mu poskytla lepšiu informáciu podľa článku 15 nariadenia GDPR v súvislosti s prípadným poskytnutím jej osobných údajov tretím stranám, a v prípade, že sa skutočne poskytli, informácie o konkrétnom príjemcovi alebo príjemcoch, ktorým boli jeho osobné údaje poskytnuté alebo ešte len budú poskytnuté. RW tvrdí, že informácie, ktoré Österreichische Post poskytla, nespĺňajú zákonné požiadavky článku 15 nariadenia GDPR, keďže z nich nevyplýva, či Österreichische Post poskytla jeho osobné údaje tretím stranám, a v prípade, ak údaje boli skutočne poskytnuté, kto bol konkrétnym príjemcom tohto poskytnutia.
8. Súd prvého stupňa a odvolací súd žalobu RW zamietli, pričom sa v podstate domnievali, že keďže článok 15 ods. 1 písm. c) nariadenia GDPR sa týka príjemcov alebo kategórie príjemcov, toto ustanovenie ponúka prevádzkovateľovi možnosť vybrať si, či iba oznámi dotknutej osobe kategórie príjemcov bez nutnosti menovite uviesť konkrétnych príjemcov, ktorým poskytol jeho osobné údaje.
9. RW v konaní o opravnom prostriedku „Revision“ pred vnútroštátnym súdom trval na svojich nárokoch.
10. V priebehu konania pred uvedeným súdom Österreichische Post informovala RW, že jeho údaje boli v rámci vydania zoznamov adries spracované na marketingové účely a ďalej poskytnuté zákazníkom, medzi nimi sú reklamné podniky pôsobiace v zásielkovom predaji a predaji v kamenných obchodoch, podniky pôsobiace v IT oblasti, vydavatelia telefónnych zoznamov a združenia ako organizácie vykonávajúce zbierky na dobročinné účely, nevládne organizácie alebo politické strany. Neuviedla však konkrétnych príjemcov, ktorým poskytla jeho údaje.
11. Za týchto okolností má vnútroštátny súd pochybnosti o výklade článku 15 nariadenia GDPR uplatneného súdmi rozhodujúcimi vo veci samej, a preto rozhodol prerušiť konanie a položiť Súdnemu dvoru túto prejudiciálnu otázku:
„Má sa článok 15 ods. 1 písm. c) [nariadenia GDPR] vykladať v tom zmysle, že právo dotknutej osoby na prístup k údajom sa obmedzuje na informácie o kategóriách príjemcov, ak konkrétni príjemcovia v prípade plánovaného poskytnutia ešte nie sú jasne určení, ale takéto právo musí nevyhnutne zahŕňať aj príjemcov takéhoto poskytnutia, ak údaje už boli poskytnuté?“
III. Právna analýza
12. Svojou prejudiciálnou otázkou vnútroštátny súd žiada Súdny dvor o výklad článku 15 ods. 1 písm. c) nariadenia GDPR, pokiaľ ide o rozsah práva dotknutej osoby stanoveného v tomto článku získať od prevádzkovateľa informácie o príjemcoch alebo kategóriách príjemcov, ktorým boli alebo ešte len budú poskytnuté jej osobné údaje.
13. Vnútroštátny súd sa pýta, či sa má toto ustanovenie vykladať v tom zmysle, že rozsah vyššie uvedeného práva dotknutej osoby na prístup k údajom treba rozlišovať podľa toho, či údaje už boli poskytnuté – a v takomto prípade by sa toto právo malo vzťahovať na konkrétnych príjemcov takéhoto poskytnutia – alebo ak konkrétni adresáti budúceho poskytnutia ešte neboli určení – v takom prípade by sa uvedené právo malo považovať za obmedzené na informácie o kategóriách príjemcov.
14. V tejto súvislosti treba predovšetkým poznamenať, že článok 15 nariadenia GDPR upravuje právo dotknutej osoby voči prevádzkovateľovi, pokiaľ ide o prístup k osobným údajom, ktoré sa jej týkajú a sú predmetom spracovávania, vrátane množstva informácií, predovšetkým o samotnom spracovávaní. Toto ustanovenie konkretizuje a spresňuje právo každého na prístup k osobným údajom, ktoré je zakotvené v druhej vete článku 8 ods. 2 Charty základných práv Európskej únie.(3)
15. Presnejšie povedané, podľa odseku 1 článku 15 nariadenia GDPR dotknutá osoba má v prvom rade právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú alebo nespracúvajú osobné údaje, ktoré sa jej týkajú. Ak to tak je, dotknutá osoba má právo na prístup k osobným údajom, ktoré sú predmetom spracúvania, ako aj k rôznym ďalším informáciám, ktoré sú uvedené v písmenách a) až h) tohto ustanovenia. V tejto súvislosti a ako sa uvádza v článku 15 ods. 1 písm. c) nariadenia GDPR, dotknutá osoba má prístup k informáciám o „príjemcoch alebo kategóriách príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie“.
16. Prejudiciálna otázka, ktorú položil vnútroštátny súd, vyžaduje výklad ustanovenia článku 15 ods. 1 písm. c) nariadenia GDPR na účely určenia presného rozsahu v ňom stanoveného práva dotknutej osoby získať informácie o príjemcoch poskytnutia jej osobných údajov.
17. V tejto súvislosti treba pripomenúť, že z ustálenej judikatúry vyplýva, že pri výklade ustanovenia práva Únie je potrebné zohľadniť nielen jeho znenie, ale aj kontext, do ktorého spadá, a ciele sledované právnou úpravou, ktorej je súčasťou.(4)
18. Okrem toho, keďže ustanovenia nariadenia GDPR upravujú spracúvanie osobných údajov, ktoré môže viesť k porušeniu základných slobôd, a predovšetkým práva na rešpektovanie súkromného života, musia sa nevyhnutne vykladať s prihliadnutím na základné práva zaručené Chartou.(5)
19. Z ustálenej judikatúry ďalej vyplýva, že pokiaľ možno ustanovenie práva Únie vykladať viacerými spôsobmi, treba uprednostniť ten výklad, ktorý zabezpečuje jeho potrebný účinok.(6)
20. V prvom rade, pokiaľ ide o znenie sporného ustanovenia, ako uviedol samotný vnútroštátny súd a viacerí účastníci konania, ktorí sa zúčastnili konania na Súdnom dvore, znenie ustanovenia článku 15 ods. 1 písm. c) nariadenia GDPR neumožňuje poskytnúť konečnú odpoveď na otázku, či právo dotknutej osoby na prístup k údajom, ktoré je v ňom stanovené, musí nevyhnutne zahŕňať prístup k informáciám o konkrétnych príjemcoch, ktorým boli poskytnuté osobné údaje, ktoré sa jej týkajú, alebo ho možno obmedziť len na prístup k informáciám o kategóriách príjemcov. V tomto ustanovení sa totiž pojmy „príjemcovia“ a „kategórie príjemcov“ používajú postupne neutrálnym spôsobom bez toho, aby bolo možné medzi nimi vyvodiť poradie prednosti. Toto ustanovenie ani výslovne nespresňuje, či je možné vybrať si medzi dvoma možnými stanovenými kategóriami informácií (t. j. „príjemcami“ alebo „kategóriami príjemcov“), ani komu (dotknutej osobe alebo prevádzkovateľovi) prináleží prípadne si vybrať, akému typu informácií sa má zabezpečiť prístup.
21. Avšak podľa môjho názoru, ako uviedol vnútroštátny súd, samotná štruktúra článku 15 odseku 1 nariadenia GDPR, vedie stále k uprednostneniu výkladu predmetného ustanovenia v tom zmysle, že prináleží dotknutej strane (a teda nie prevádzkovateľovi, ako to posúdili v prejednávanej veci dva vnútroštátne súdy rozhodujúce vo veci samej) vybrať si medzi dvoma alternatívami, ktoré sú uvedené v tomto ustanovení. Na rozdiel od ostatných ustanovení nariadenia GDPR, ako sú články 13 a 14,(7) ktoré sú štruktúrované v zmysle stanovenia informačnej povinnosti prevádzkovateľa, predmetné ustanovenie stanovuje skutočné právo dotknutej osoby na prístup k údajom. Výkon tohto práva dotknutou osobou logicky predpokladá, že sa nositeľovi tohto práva poskytne možnosť vybrať si, či získa prístup k informáciám, keď je to možné, o konkrétnych príjemcoch, ktorým boli alebo budú poskytnuté údaje, alebo alternatívne sa obmedzí iba na vyžiadanie informácií o kategóriách príjemcov.
22. Výklad ustanovenia článku 15 ods. 1 písm. c) nariadenia GDPR v tom zmysle, že stanovuje právo dotknutej strany žiadať, keď je to možné, prístup k informáciám o konkrétnych príjemcoch, ktorým boli poskytnuté jej osobné údaje, je navyše potvrdený analýzou kontextu, do ktorého spadá, ako aj cieľmi ustanovenia so zreteľom na ciele a všeobecnú štruktúru, ktoré sú vlastné nariadeniu GDPR.
23. V tejto súvislosti v prvom rade poznamenávam, že odôvodnenie 63 nariadenia GDPR výslovne stanovuje, že dotknutá osoba by mala „mať právo vedieť a byť informovaná o… príjemcoch osobných údajov“. Toto odôvodnenie, s prihliadnutím na ktoré treba vykladať predmetné ustanovenie, hovorí o práve dotknutej osoby na prístup k údajom o konkrétnych príjemcoch, ktorým boli poskytnuté jej osobné údaje, a vôbec sa nezmieňuje o tom, že toto právo možno obmedziť podľa uváženia prevádzkovateľa len na kategórie príjemcov.
24. Z judikatúry tiež výslovne vyplýva, že cieľom nariadenia GDPR je najmä, ako to vyplýva z jeho odôvodnenia 10, zabezpečiť vysokú úroveň ochrany fyzických osôb v rámci Únie a na tento účel zabezpečiť v rámci celej Únie konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd týchto osôb pri spracúvaní osobných údajov.(8)
25. Na tento účel musí byť akékoľvek spracúvanie osobných údajov v súlade so zásadami uvedenými v článku 5 tohto nariadenia.(9) Ako vyplýva najmä z článku 5 ods. 1 písm. a) nariadenia GDPR, osobné údaje musia byť spracúvané transparentne vo vzťahu k dotknutej osobe.(10) V tejto súvislosti článok 15 nariadenia GDPR, ktorý upravuje právo dotknutej osoby na prístup k údajom, predstavuje kľúčové ustanovenie na zabezpečenie toho, aby spôsoby, prostredníctvom ktorých sa údaje spracúvajú, boli transparentné pre dotknuté osoby.
26. Ako sa uvádza v odôvodnení 63 nariadenia GDPR,(11) cieľom uvedeného práva je v prvom rade umožniť, aby dotknutá osoba si bola vedomá zákonnosti spracúvania a mohla si ju overiť.(12) Výkon tohto práva má predovšetkým dotknutej osobe umožniť overiť nielen to, či údaje, ktoré sa jej týkajú, sú správne, ale aj to, či boli poskytnuté oprávneným príjemcom.(13) Toto v zásade znamená, že sa poskytnú čo najpresnejšie informácie.
27. V tomto kontexte súhlasím s Komisiou, že popieranie, že právo dotknutej osoby na prístup k údajom stanovené článkom 15 ods. 1 písm. c) nariadenia GDPR zahŕňa informácie o konkrétnych príjemcoch, a obmedzenie tohto práva iba na kategórie príjemcov by znamenalo, že sa dotknutej osobe bráni v tom, aby si mohla úplne overiť zákonnosť spracúvania vykonaného prevádzkovateľom, a najmä overiť zákonnosť už vykonaného poskytnutia údajov. Takýto výklad predmetného ustanovenia neumožňuje dotknutej osobe overiť, či jej údaje boli odovzdané iba oprávneným príjemcom, čo je v rozpore s požiadavkami uvedenými v predchádzajúcom bode.
28. V druhom rade a v súvislosti s prvým cieľom toto právo je potrebné na to, ako už uviedol Súdny dvor, aby dotknutá osoba mohla uplatňovať právo na opravu, právo na vymazanie („právo na zabudnutie“) a právo na obmedzenie spracúvania, ktoré jej boli priznané článkami 16, 17 a 18 nariadenia GDPR.(14) Súdny dvor ďalej objasnil, že právo prístupu je rovnako nevyhnutné na to, aby sa dotknutej osobe umožnilo uplatniť podľa článku 21 nariadenia GDPR právo namietať proti spracúvaniu jej osobných údajov alebo právo na prostriedok nápravy v prípade utrpenej ujmy a právo na náhradu škody podľa článkov 79 a 82 nariadenia GDPR.(15)
29. Výklad predmetného ustanovenia, ktorým sa dotknutej osobe poprie možnosť získať informácie o konkrétnych príjemcoch, ktorým boli poskytnuté jej osobné údaje, má za následok, že bez poznania totožnosti týchto príjemcov dotknutá osoba nebude schopná vykonať voči nim svoje práva priznané vyššie uvedenými ustanoveniami nariadenia GDPR, alebo ich môže vykonávať vynaložením neprimeraného úsilia.(16) Takýto výklad zbavuje v uvedených situáciách tieto ustanovenia a práva, ktoré sa im priznávajú, potrebného účinku.
30. Z kontextuálneho hľadiska je vyššie uvedený výklad článku 15 ods. 1 písm. c) nariadenia GDPR navyše potvrdený aj ustanovením článku 19 tohto nariadenia. Toto ustanovenie stanovuje, že „prevádzkovateľ oznámi každému príjemcovi, ktorému boli osobné údaje poskytnuté, každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania uskutočnené podľa článku 16, článku 17 ods. 1 a článku 18, pokiaľ sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie“.
31. Článok 19 nariadenia GDPR teda ukladá prevádzkovateľovi povinnosť informovať všetkých príjemcov, ktorým odovzdal osobné údaje o akejkoľvek žiadosti o opravu, vymazanie alebo obmedzenie spracúvania týchto údajov, ktorej vyhovel. Takto informovaní príjemcovia sú teda povinní okamžite vykonať opravu, vymazanie alebo obmedzenie spracovania v rozsahu, v akom ešte stále prebieha spracúvanie predmetných údajov. Pri dosahovaní účelu zabezpečiť vysokú úroveň ochrany uvedenej v predchádzajúcom bode 24, má článok 19 nariadenia GDPR v tomto zmysle za cieľ oslobodiť dotknutú osobu od povinnosti – po tom, ako požiadala o informácie podľa článku 15 ods. 1 písm. c) nariadenia GDPR – zasielať ďalšie zodpovedajúce žiadosti o opravu, vymazanie alebo obmedzenie spracovania dotknutým príjemcom. Dotknutá osoba však musí byť schopná overiť, či oprava, vymazanie alebo obmedzenie boli skutočne vykonané po oznámení zo strany prevádzkovateľa. V tejto perspektíve článok 19 nariadenia GDPR preto ustanovuje, že prevádzkovateľ musí informovať dotknutú osobu o týchto príjemcoch, ak o to dotknutá osoba požiada.
32. Ustanovenie článku 19 nariadenia GDPR potvrdzuje, že na účely zabezpečenia potrebného účinku práv na vymazanie, opravu alebo obmedzenie spracúvania údajov dotknutej osoby stanovených v článkoch 16, 17 a 18 nariadenia GDPR, dotknutá osoba musí v zásade mať právo na oznámenie totožnosti konkrétnych príjemcov v prípade, že jej údaje už boli poskytnuté. Dotknutá osoba totiž môže len takýmto spôsobom uplatniť voči nim svoje práva.
33. Z predchádzajúcich úvah vyplýva, že právo na prístup uvedené v článku 15 odseku 1 písm. c) nariadenia GDPR má funkčnú a pomocnú úlohu v súvislosti s výkonom ostatných výsad dotknutej osoby stanovených nariadením GDPR. Z toho vyplýva, že na zabezpečenie potrebného účinku všetkých vyššie uvedených ustanovení nariadenia GDPR sa toto ustanovenie má vykladať v tom zmysle, že právo na prístup, ktoré stanovuje, sa musí v zásade nevyhnutne týkať možnosti získať od prevádzkovateľa informácie o konkrétnych príjemcoch poskytnutia osobných údajov dotknutej osoby.
34. Rozšírenie práva na prístup k údajom podľa článku 15 odseku 1 písm. c) nariadenia GDPR na konkrétnych príjemcov takéhoto poskytnutia je však podľa môjho názoru obmedzené aspoň v dvoch prípadoch.
35. Po prvé v prípade, že je fakticky nemožné poskytnúť informácie o konkrétnych príjemcoch napríklad preto, že ešte neboli efektívne identifikovaní, nemožno od prevádzkovateľa zjavne požadovať, aby poskytol informácie, ktoré ešte neexistujú. V tomto prípade, ktorý je výslovne uvedený v prejudiciálnej otázke, sa teda právo dotknutej osoby na prístup k údajom môže týkať len kategórií príjemcov.
36. Po druhé, ako uviedla talianska vláda, výkon práva dotknutej osoby na prístup k údajom a splnenie zodpovedajúcej povinnosti prevádzkovateľa treba posudzovať z hľadiska zásady spravodlivosti a proporcionality.
37. V tejto súvislosti je potrebné pripomenúť, že ako vyplýva z judikatúry Súdneho dvora, sa nezdá, že práva zakotvené v článkoch 7 a 8 Charty sú absolútnymi výsadami, ale musia sa vnímať vo vzťahu k ich úlohe v spoločnosti.(17)
38. V tomto kontexte na jednej strane z článku 12 ods. 5, ktorý sa výslovne uplatňuje aj na ustanovenie, ktoré je predmetom prejudiciálnej otázky, výslovne vyplýva, že žiadosť dotknutej osoby nesmie byť zjavne nedôvodná alebo neprimeraná, a ak ide o takýto prípad, prevádzkovateľ môže aj odmietnuť konať na základe žiadosti. Z toho istého ustanovenia okrem toho vyplýva, že prevádzkovateľ „znáša bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti“.
39. Okrem toho samotný Súdny dvor už mal príležitosť objasniť, že je potrebné nájsť spravodlivú rovnováhu na jednej strane medzi záujmom dotknutých osôb chrániť svoje súkromie, najmä prostredníctvom práv zakotvených v kapitole III nariadenia GDPR a možnosťou obrátiť sa na súd, a na strane druhej povinnosťami prevádzkovateľa.(18) Táto spravodlivá rovnováha je premietnutá v prospech väčšej pozornosti voči ochrane súkromia a údajov dotknutej osoby, čo je vyjadrené potrebou, že na to, aby sa žiadosti dotknutej osoby o prístup nevyhovelo, musí byť preukázaná zjavná neopodstatnenosť alebo neprimeranosť tejto žiadosti.
IV. Návrh
40. Vzhľadom na všetko vyššie uvedené navrhujem, aby Súdny dvor na prejudiciálnu otázku, ktorú položil Oberster Gerichtshof (Najvyšší súd, Rakúsko), odpovedal takto:
Článok 15 ods. 1 písm. c) nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), sa má vykladať v tom zmysle, že právo dotknutej osoby na prístup k údajom, ktoré stanovuje, sa musí nevyhnutne vzťahovať na oznámenie konkrétnych príjemcov poskytnutia jej osobných údajov, ak dotknutá osoba o to požiada. Toto právo možno obmedziť iba na oznámenie kategórií príjemcov, ak je fakticky nemožné identifikovať konkrétnych príjemcov, ktorým boli poskytnuté osobné údaje dotknutej osoby, alebo ak prevádzkovateľ preukáže, že žiadosť dotknutej osoby je zjavne nedôvodná alebo neprimeraná v zmysle článku 12 ods. 5 nariadenia (EÚ) 2016/679.