ROZSUDOK SÚDNEHO DVORA (prvá komora)
z 12. januára 2023 (*)
„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracúvaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 15 ods. 1 písm. c) – Právo dotknutej osoby na prístup k svojim údajom – Informácie o príjemcoch alebo kategóriách príjemcov, ktorým boli alebo budú osobné údaje poskytnuté – Obmedzenia“
Vo veci C‑154/21,
ktorej predmetom je návrh na začatie prejudiciálneho konania podľa článku 267 ZFEÚ, podaný rozhodnutím Oberster Gerichtshof (Najvyšší súd, Rakúsko) z 18. februára 2021 a doručený Súdnemu dvoru 9. marca 2021, ktorý súvisí s konaním:
RW
proti
Österreichische Post AG,
SÚDNY DVOR (prvá komora),
v zložení: predseda prvej komory A. Arabadžiev, podpredseda Súdneho dvora L. Bay Larsen, vykonávajúci funkciu sudcu prvej komory, sudcovia P. G. Xuereb, A. Kumin a I. Ziemele (spravodajkyňa),
generálny advokát: G. Pitruzzella,
tajomník: A. Calot Escobar,
so zreteľom na písomnú časť konania,
so zreteľom na pripomienky, ktoré predložili:
– RW, v zastúpení: R. Haupt, Rechtsanwalt,
– Österreichische Post AG, v zastúpení: R. Marko, Rechtsanwalt,
– rakúska vláda, v zastúpení: G. Kunnert, A. Posch a J. Schmoll, splnomocnení zástupcovia,
– česká vláda, v zastúpení: M. Smolek a J. Vláčil, splnomocnení zástupcovia,
– talianska vláda, v zastúpení: G. Palmieri, splnomocnená zástupkyňa, za právnej pomoci M. Russo, avvocato dello Stato,
– lotyšská vláda, v zastúpení: J. Davidoviča, I. Hūna a K. Pommere, splnomocnené zástupkyne,
– rumunská vláda, v zastúpení: L.‑E. Baţagoi, E. Gane a A. Wellman, splnomocnené zástupkyne,
– švédska vláda, v zastúpení: H. Eklinder, J. Lundberg, C. Meyer‑Seitz, A. M. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson, H. Shev a O. Simonsson, splnomocnení zástupcovia,
– Európska komisia, v zastúpení: F. Erlbacher a H. Kranenborg, splnomocnení zástupcovia,
po vypočutí návrhov generálneho advokáta na pojednávaní 9. júna 2022,
vyhlásil tento
Rozsudok
1 Návrh na začatie prejudiciálneho konania sa týka výkladu článku 15 ods. 1 písm. c) nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „nariadenie GDPR“).
2 Tento návrh bol podaný v rámci sporu medzi RW a spoločnosťou Österreichische Post AG (ďalej len „Österreichische Post“) vo veci žiadosti o prístup k osobným údajom podľa článku 15 ods. 1 písm. c) nariadenia GDPR.
Právny rámec
3 Odôvodnenia 4, 9, 10, 39, 63 a 74 nariadenia GDPR znejú takto:
„(4) … Právo na ochranu osobných údajov nie je absolútne právo; musí sa posudzovať vo vzťahu k jeho funkcii v spoločnosti a musí byť vyvážené s ostatnými základnými právami, a to v súlade so zásadou proporcionality. …
…
(9) Ciele a zásady smernice [Európskeho parlamentu a Rady] 95/46/ES [z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355)], zostávajú platné, nepodarilo sa však zabrániť rozdielom pri vykonávaní ochrany údajov v [Európskej ú]nii, právnej neistote ani rozšírenému vnímaniu verejnosti, že v súvislosti s ochranou fyzických osôb existujú značné riziká, a to najmä v online prostredí. Rozdiely, ktoré existujú v členských štátoch, pokiaľ ide o úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní osobných údajov, najmä práva na ochranu osobných údajov, môžu brániť voľnému toku osobných údajov v Únii. Uvedené rozdiely preto môžu predstavovať prekážku pri vykonávaní hospodárskych činností na úrovni Únie, narúšať hospodársku súťaž a brániť orgánom v plnení úloh, ktoré majú vykonávať na základe práva Únie. Takýto rozdiel v úrovni ochrany je spôsobený existenciou rozdielov vo vykonávaní a uplatňovaní smernice 95/46/ES.
(10) S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci Únie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch. …
…
(39) Každé spracúvanie osobných údajov by malo byť zákonné a spravodlivé. Pre fyzické osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať. Zásada transparentnosti si vyžaduje, aby všetky informácie a komunikácia súvisiace so spracúvaním týchto osobných údajov boli ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho. …
…
(63) Dotknutá osoba by mala mať právo na prístup k osobným údajom, ktoré boli o nej získané, a uvedené právo aj jednoducho a v primeraných intervaloch uplatňovať, aby si bola vedomá zákonnosti spracúvania a mohla si ju overiť. … Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania osobných údajov, podľa možnosti o dobe spracúvania osobných údajov, o príjemcoch osobných údajov, o postupe v každom automatickom spracúvaní osobných údajov a aspoň v prípadoch, v ktorých sa spracúvanie opiera o profilovanie, o následkoch takéhoto spracúvania. … Uvedené právo by sa nemalo nepriaznivo dotknúť práv alebo slobôd iných osôb, ani obchodného tajomstva alebo práv duševného vlastníctva a najmä autorských práv týkajúcich sa softvéru. Výsledkom zohľadnenia týchto prvkov by však nemalo byť odmietnutie poskytnutia akýchkoľvek informácií dotknutej osobe. …
…
(74) Mali by sa stanoviť povinnosti a zodpovednosť prevádzkovateľa v súvislosti s akýmkoľvek spracúvaním osobných údajov, ktoré vykonáva sám alebo ktoré sa vykonáva v jeho mene. Prevádzkovateľ by mal byť najmä povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto nariadením vrátane účinnosti opatrení. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva a slobody fyzických osôb.“
4 Článok 1 nariadenia GDPR, nazvaný „Predmet úpravy a ciele“, v odseku 2 stanovuje:
„Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov.“
5 Článok 5 nariadenia GDPR, nazvaný „Zásady spracúvania osobných údajov“, stanovuje:
„1. Osobné údaje musia byť:
a) spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe (‚zákonnosť, spravodlivosť a transparentnosť‘);
…
2. Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať (‚zodpovednosť‘).“
6 Článok 12 nariadenia GDPR, nazvaný „Transparentnosť informácií a oznámení a postupy pre výkon práv dotknutej osoby“, stanovuje:
„1. Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 a všetky oznámenia podľa článkov 15 až 22 a článku 34, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami. Ak o to požiadala dotknutá osoba, informácie sa môžu poskytnúť ústne za predpokladu, že sa preukázala totožnosť dotknutej osoby iným spôsobom.
2. Prevádzkovateľ uľahčuje výkon práv dotknutej osoby podľa článkov 15 až 22. V prípadoch uvedených v článku 11 ods. 2 nemôže prevádzkovateľ odmietnuť konať na základe žiadosti dotknutej osoby pri výkone jej práva podľa článkov 15 až 22, pokiaľ nepreukáže, že dotknutú osobu nie je schopný identifikovať.
…
5. Informácie poskytnuté podľa článkov 13 a 14 a všetky oznámenia a všetky opatrenia prijaté podľa článkov 15 až 22 a článku 34 sa poskytujú bezplatne. Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže buď:
a) požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia, alebo
b) odmietnuť konať na základe žiadosti.
Prevádzkovateľ znáša bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti.
…“
7 Článok 13 nariadenia GDPR, nazvaný „Informácie, ktoré sa majú poskytovať pri získavaní osobných údajov od dotknutej osoby“, v odseku 1 stanovuje:
„V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe všetky tieto informácie:
…
e) príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;…
…“
8 Článok 14 nariadenia GDPR, nazvaný „Informácie, ktoré sa majú poskytnúť, ak osobné údaje neboli získané od dotknutej osoby“, v odseku 1 stanovuje:
„Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ poskytne dotknutej osobe tieto informácie:
…
e) príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú;
…“
9 Článok 15 nariadenia GDPR, nazvaný „Právo dotknutej osoby na prístup k údajom“, znie takto:
„1. Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak [to] tak je, má právo získať prístup k týmto osobným údajom a tieto informácie:
a) účely spracúvania;
b) kategórie dotknutých osobných údajov;
c) príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie;
d) ak je to možné, predpokladaná doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;
e) existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti takémuto spracúvaniu;
f) právo podať sťažnosť dozornému orgánu;
g) ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj;
h) existencia automatizovaného rozhodovania vrátane profilovania uvedeného v článku 22 ods. 1 a 4 a v týchto prípadoch aspoň zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.
2. Ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii, dotknutá osoba má právo byť informovaná o primeraných zárukách podľa článku 46 týkajúcich sa prenosu.
3. Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Za akékoľvek ďalšie kópie, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob.
4. Právo získať kópiu uvedenú v odseku 3 nesmie mať nepriaznivé dôsledky na práva a slobody iných.“
10 Článok 16 nariadenia GDPR, nazvaný „Právo na opravu“, stanovuje:
„Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.“
11 Článok 17 nariadenia GDPR, nazvaný „Právo na vymazanie (‚právo na zabudnutie‘)“, znie takto:
„1. Dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:
a) osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;
b) dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a), a ak neexistuje iný právny základ pre spracúvanie;
c) dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 2;
d) osobné údaje sa spracúvali nezákonne;
e) osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha;
f) osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 ods. 1.
2. Ak prevádzkovateľ zverejnil osobné údaje a podľa odseku 1 je povinný vymazať osobné údaje, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení podnikne primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu alebo repliky.
…“
12 Článok 18 nariadenia GDPR, nazvaný „Právo na obmedzenie spracúvania“, v odseku 1 stanovuje:
„Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie, pokiaľ ide o jeden z týchto prípadov:
a) dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov;
b) spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia;
c) prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov;
d) dotknutá osoba namietala voči spracúvaniu podľa článku 21 ods. 1, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
…“
13 Článok 19 nariadenia GDPR znie takto:
„Prevádzkovateľ oznámi každému príjemcovi, ktorému boli osobné údaje poskytnuté, každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania uskutočnené podľa článku 16, článku 17 ods. 1 a článku 18, pokiaľ sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie. Prevádzkovateľ o týchto príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.“
14 Podľa článku 21 nariadenia GDPR, nazvaného „Právo namietať“:
„1. Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
2. Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom.
3. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.
4. Dotknutá osoba sa výslovne upozorní na právo uvedené v odsekoch 1 a 2 najneskôr pri prvej komunikácii s ňou, pričom sa toto právo prezentuje jasne a oddelene od akýchkoľvek iných informácií.
5. V súvislosti s používaním služieb informačnej spoločnosti a bez ohľadu na smernicu [Európskeho parlamentu a Rady] 2002/58/ES [z 12. júla 2002 týkajúcu sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 2002, s. 37; Mim. vyd. 13/029, s. 514)] môže dotknutá osoba uplatňovať svoje právo namietať automatizovanými prostriedkami s použitím technických špecifikácií.
6. Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods. 1, dotknutá osoba má právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvani[u] osobných údajov, ktoré sa jej týka, s výnimkou prípadov, keď je spracúvanie nevyhnutné na plnenie úlohy z dôvodov verejného záujmu.“
15 Článok 79 nariadenia GDPR, nazvaný „Právo na účinný súdny prostriedok nápravy voči prevádzkovateľovi alebo sprostredkovateľovi“, v odseku 1 uvádza:
„Bez toho, aby bol dotknutý akýkoľvek dostupný správny alebo mimosúdny prostriedok nápravy vrátane práva na podanie sťažnosti dozornému orgánu podľa článku 77, každá dotknutá osoba má právo na účinný súdny prostriedok nápravy, ak sa domnieva, že v dôsledku spracúvania jej osobných údajov v rozpore s týmto nariadením došlo k porušeniu jej práv ustanovených v tomto nariadení.“
16 Článok 82 nariadenia GDPR, nazvaný „Právo na náhradu škody a zodpovednosť“, v odseku 1 stanovuje:
„Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu utrpenej škody od prevádzkovateľa alebo sprostredkovateľa.“
Spor vo veci samej a prejudiciálna otázka
17 Dňa 15. januára 2019 sa RW obrátil na Österreichische Post, aby na základe článku 15 nariadenia GDPR získal prístup k osobným údajom, ktoré sa ho týkajú a ktoré Österreichische Post uchováva alebo uchovávala v minulosti, a v prípade, že tieto údaje poskytla tretím stranám, totožnosť príjemcov takéhoto poskytnutia.
18 V odpovedi na túto žiadosť sa Österreichische Post obmedzila na to, že uviedla, že v rozsahu povolenom zákonom používa údaje v rámci svojej činnosti ako vydavateľka zoznamu adries a že tieto osobné údaje ponúka obchodným partnerom na marketingové účely. Okrem toho s cieľom získať podrobnejšie informácie a ďalšie účely spracovávania údajov odkázala na internetovú stránku. Táto spoločnosť neinformovala RW o totožnosti konkrétnych príjemcov údajov.
19 RW podal proti spoločnosti Österreichische Post žalobu na rakúske súdy, ktorou sa domáhal, aby bola spoločnosti Österreichische Post uložená povinnosť poskytnúť RW najmä totožnosť príjemcu alebo príjemcov jeho osobných údajov, ktoré boli takto poskytnuté.
20 V priebehu takto začatého súdneho konania Österreichische Post informovala RW, že jeho osobné údaje boli spracované na marketingové účely a poskytnuté klientom vrátane inzerentov pôsobiacich v zásielkovom predaji a predaji v kamenných obchodoch, podnikov pôsobiacich v IT oblasti, vydavateľov zoznamov adries a združení, ako sú charitatívne organizácie, nevládne organizácie alebo politické strany.
21 Prvostupňový súd a odvolací súd zamietli žalobu RW z dôvodu, že článok 15 ods. 1 písm. c) nariadenia GDPR v rozsahu, v akom odkazuje na „príjemcov alebo kategórie príjemcov“, priznáva prevádzkovateľovi možnosť oznámiť dotknutej osobe len kategórie príjemcov bez toho, aby musel menovite určiť konkrétnych príjemcov, ktorým sú osobné údaje poskytované.
22 RW podal opravný prostriedok „Revision“ na Oberster Gerichtshof (Najvyšší súd, Rakúsko), ktorý je vnútroštátnym súdom a ktorý podal návrh na začatie prejudiciálneho konania.
23 Tento súd si kladie otázku v súvislosti s výkladom článku 15 ods. 1 písm. c) nariadenia GDPR, keďže zo znenia tohto ustanovenia nie je jasné, či toto ustanovenie priznáva dotknutej osobe právo na prístup k informáciám týkajúcim sa konkrétnych príjemcov poskytnutých údajov alebo či má prevádzkovateľ voľnú úvahu, pokiaľ ide o spôsob, akým chce vyhovieť žiadosti o prístup k informáciám o príjemcoch.
24 Uvedený súd však poznamenáva, že ratio legis uvedeného ustanovenia svedčí skôr v prospech výkladu, podľa ktorého možnosť požiadať o informácie týkajúce sa kategórií príjemcov alebo konkrétnych príjemcov svojich osobných údajov má práve dotknutá osoba. Podľa jeho názoru by akýkoľvek opačný výklad vážne narušil účinnosť opravných prostriedkov, ktoré má dotknutá osoba k dispozícii na ochranu svojich údajov. Pokiaľ by totiž prevádzkovatelia mali na výber, či budú dotknuté osoby informovať o konkrétnych príjemcoch, alebo len o kategóriách príjemcov, možno sa obávať, že v praxi by takmer nijaký z nich neposkytol informácie o konkrétnych príjemcoch.
25 Okrem toho na rozdiel od článku 13 ods. 1 písm. e) a článku 14 ods. 1 písm. e) nariadenia GDPR, ktoré stanovujú povinnosť prevádzkovateľa poskytnúť informácie, ktoré sú v nich uvedené, článok 15 ods. 1 tohto nariadenia kladie dôraz na rozsah práva dotknutej osoby na prístup, čo podľa vnútroštátneho súdu tiež naznačuje, že dotknutá osoba má právo vybrať si, či bude požadovať informácie o konkrétnych príjemcoch, alebo o kategóriách príjemcov.
26 Napokon vnútroštátny súd dodáva, že právo na prístup stanovené v článku 15 ods. 1 nariadenia GDPR sa netýka len osobných údajov, ktoré sa v súčasnosti spracúvajú, ale aj všetkých údajov spracúvaných v minulosti. V tejto súvislosti spresňuje, že úvahy uvedené v rozsudku zo 7. mája 2009, Rijkeboer (C‑553/07, EU:C:2009:293), ktoré vychádzajú z účelu práva na prístup stanoveného v smernici 95/46, možno uplatniť na právo na prístup uvedené v článku 15 nariadenia GDPR, a to tým skôr, že z odôvodnení 9 a 10 tohto nariadenia možno vyvodiť, že normotvorca Únie nemal v úmysle znížiť úroveň ochrany oproti tejto smernici.
27 Za týchto podmienok Oberster Gerichtshof (Najvyšší súd) rozhodol prerušiť konanie a položiť Súdnemu dvoru túto prejudiciálnu otázku:
„Má sa článok 15 ods. 1 písm. c) [nariadenia GDPR] vykladať v tom zmysle, že právo na prístup sa obmedzuje na informácie o kategóriách príjemcov, ak konkrétni príjemcovia v čase plánovaného poskytnutia ešte nie sú známi, ale že sa musí nevyhnutne vzťahovať aj na informácie o príjemcov týchto informácií, ak už boli údaje poskytnuté?“
O prejudiciálnej otázke
28 Svojou prejudiciálnou otázkou sa vnútroštátny súd v podstate pýta, či sa má článok 15 ods. 1 písm. c) nariadenia GDPR vykladať v tom zmysle, že právo dotknutej osoby na prístup k osobným údajom, ktoré sa jej týkajú, stanovené v tomto ustanovení, znamená v prípade, že tieto údaje boli alebo budú poskytnuté príjemcom, povinnosť prevádzkovateľa poskytnúť tejto osobe konkrétnu totožnosť týchto príjemcov.
29 Na úvod treba pripomenúť, že podľa ustálenej judikatúry platí, že výklad ustanovenia práva Únie si vyžaduje zohľadnenie nielen jeho znenia, ale aj kontextu, do ktorého patrí, a cieľov a účelu aktu, ktorého je súčasťou (rozsudok z 15. marca 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, bod 63). Navyše, pokiaľ možno ustanovenie práva Únie vykladať viacerými spôsobmi, treba uprednostniť ten výklad, ktorý zabezpečuje jeho potrebný účinok (rozsudok zo 7. marca 2018, Cristal Union, C‑31/17, EU:C:2018:168, bod 41 a citovaná judikatúra).
30 Pokiaľ ide najskôr o znenie článku 15 ods. 1 písm. c) nariadenia GDPR, treba pripomenúť, že toto ustanovenie uvádza, že dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak to tak je, má právo získať prístup k uvedeným osobným údajom, ako aj k informáciám o príjemcoch alebo kategóriách príjemcov, ktorým tieto osobné údaje boli alebo budú poskytnuté.
31 V tejto súvislosti treba uviesť, že pojmy „príjemcovia“ a „kategórie príjemcov“ uvedené v tomto ustanovení sa používajú za sebou bez toho, aby bolo možné medzi nimi vyvodiť poradie prednosti.
32 Treba teda konštatovať, že znenie článku 15 ods. 1 písm. c) nariadenia GDPR neumožňuje jednoznačne určiť, či dotknutá osoba má právo byť informovaná o konkrétnej totožnosti príjemcov údajov, ak osobné údaje, ktoré sa jej týkajú, boli alebo budú poskytnuté.
33 Pokiaľ ide ďalej o kontext, do ktorého patrí článok 15 ods. 1 písm. c) nariadenia GDPR, treba v prvom rade pripomenúť, že odôvodnenie 63 tohto nariadenia stanovuje, že dotknutá osoba musí mať právo vedieť a byť informovaná najmä o totožnosti príjemcov týchto osobných údajov, a nespresňuje, že toto právo možno obmedziť len na kategórie príjemcov, ako uviedol generálny advokát v bode 23 svojich návrhov.
34 V druhom rade treba tiež pripomenúť, že na účely dodržania práva na prístup musí byť akékoľvek spracovanie osobných údajov fyzických osôb v súlade so zásadami uvedenými v článku 5 nariadenia GDPR (pozri v tomto zmysle rozsudok zo 16. januára 2019, Deutsche Post, C‑496/17 P, EU:C:2019:26, bod 57).
35 Medzi tieto zásady pritom patrí zásada transparentnosti uvedená v článku 5 ods. 1 písm. a) nariadenia GDPR, ktorá znamená, ako vyplýva z odôvodnenia 39 tohto nariadenia, že dotknutej osobe sú poskytované informácie o spôsobe, akým sa jej osobné údaje spracúvajú, a že tieto informácie sú ľahko prístupné a zrozumiteľné.
36 V treťom rade treba uviesť, ako zdôraznil generálny advokát v bode 21 svojich návrhov, že na rozdiel od článkov 13 a 14 nariadenia GDPR, ktoré stanovujú povinnosť prevádzkovateľa poskytnúť dotknutej osobe informácie týkajúce sa kategórií príjemcov alebo konkrétnych príjemcov osobných údajov, ktoré sa jej týkajú, ak sa tieto údaje získavajú alebo nezískavajú od dotknutej osoby, článok 15 nariadenia GDPR stanovuje skutočné právo na prístup v prospech dotknutej osoby, pričom dotknutá osoba musí mať na výber, či chce získať, ak je to možné, informácie o konkrétnych príjemcoch, ktorým boli alebo budú uvedené údaje poskytnuté, alebo informácie o kategóriách príjemcov.
37 Vo štvrtom rade Súdny dvor už rozhodol, že výkon tohto práva na prístup musí dotknutej osobe umožniť overiť nielen to, či sú údaje, ktoré sa jej týkajú, správne, ale aj to, či sú spracúvané zákonným spôsobom (pozri analogicky rozsudky zo 17. júla 2014, YS a i., C‑141/12 a C‑372/12, EU:C:2014:2081, bod 44, ako aj z 20. decembra 2017, Nowak, C‑434/16, EU:C:2017:994, bod 57), najmä že boli poskytnuté oprávneným príjemcom (pozri analogicky rozsudok zo 7. mája 2009, Rijkeboer, C‑553/07, EU:C:2009:293, bod 49).
38 Konkrétne je toto právo na prístup nevyhnutné na to, aby dotknutá osoba mohla prípadne vykonať svoje právo na opravu, svoje právo na vymazanie („právo na zabudnutie“) a svoje právo na obmedzenie spracúvania, ktoré jej priznávajú články 16, 17 a 18 nariadenia GDPR (pozri analogicky rozsudky zo 17. júla 2014, YS a i., C‑141/12 a C‑372/12, EU:C:2014:2081, bod 44, ako aj z 20. decembra 2017, Nowak, C‑434/16, EU:C:2017:994, bod 57), ako aj svoje právo namietať proti spracúvaniu svojich osobných údajov stanovené v článku 21 nariadenia GDPR a svoje právo na prostriedok nápravy v prípade spôsobenej ujmy stanovené v článkoch 79 a 82 nariadenia GDPR (pozri analogicky rozsudok zo 7. mája 2009, Rijkeboer, C‑553/07, EU:C:2009:293, bod 52).
39 Aby sa tak zabezpečil potrebný účinok všetkých práv uvedených v predchádzajúcom bode tohto rozsudku, musí mať dotknutá osoba najmä právo byť informovaná o totožnosti konkrétnych príjemcov v prípade, že jej osobné údaje už boli poskytnuté.
40 Takýto výklad je v piatom a poslednom rade potvrdený znením článku 19 nariadenia GDPR, ktorý v prvej vete stanovuje, že prevádzkovateľ v zásade oznámi každému príjemcovi, ktorému boli osobné údaje poskytnuté, každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania, a v druhej vete, že prevádzkovateľ o týchto príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.
41 Článok 19 druhá veta nariadenia GDPR tak dotknutej osobe výslovne priznáva právo na to, aby ju prevádzkovateľ informoval o konkrétnych príjemcoch údajov, ktoré sa jej týkajú, a to v rámci povinnosti prevádzkovateľa informovať všetkých príjemcov o výkone práv, ktoré má táto osoba podľa článku 16, článku 17 ods. 1 a článku 18 nariadenia GDPR.
42 Z predchádzajúcej kontextuálnej analýzy vyplýva, že článok 15 ods. 1 písm. c) nariadenia GDPR je jedným z ustanovení, ktorých cieľom je zabezpečiť transparentnosť spôsobov spracúvania osobných údajov vo vzťahu k dotknutej osobe a umožňuje tejto osobe, ako uviedol generálny advokát v bode 33 svojich návrhov, vykonávať výsady stanovené najmä v článkoch 16 až 19, 21, 79 a 82 nariadenia GDPR.
43 Preto treba konštatovať, že informácie poskytnuté dotknutej osobe na základe práva na prístup stanoveného v článku 15 ods. 1 písm. c) nariadenia GDPR musia byť čo najpresnejšie. Toto právo na prístup konkrétne znamená, že dotknutá osoba má možnosť získať od prevádzkovateľa informácie o konkrétnych príjemcoch, ktorým boli alebo budú poskytnuté údaje, alebo si prípadne zvoliť, že bude požadovať len informácie týkajúce sa kategórií príjemcov.
44 Napokon pokiaľ ide o účel, ktorý sleduje nariadenie GDPR, treba pripomenúť, že cieľom tohto nariadenia je najmä, ako vyplýva z jeho odôvodnenia 10, zaručiť vysokú úroveň ochrany fyzických osôb v rámci Únie (rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 207). V tejto súvislosti, ako v podstate uviedol generálny advokát v bode 14 svojich návrhov, všeobecný právny rámec vytvorený nariadením GDPR vykonáva požiadavky vyplývajúce zo základného práva na ochranu osobných údajov chráneného článkom 8 Charty základných práv Európskej únie, a najmä požiadavky, ktoré sú výslovne stanovené v odseku 2 tohto článku (pozri v tomto zmysle rozsudok z 9. marca 2017, Manni, C‑398/15 P, EU:C:2017:197, bod 40).
45 Tento cieľ pritom potvrdzuje výklad článku 15 ods. 1 nariadenia GDPR uvedený v bode 43 vyššie.
46 Z cieľa sledovaného nariadením GDPR teda tiež vyplýva, že dotknutá osoba má právo získať od prevádzkovateľa informácie o konkrétnych príjemcoch, ktorým boli alebo budú poskytnuté osobné údaje, ktoré sa jej týkajú.
47 Vzhľadom na to treba napokon zdôrazniť, že ako vyplýva z odôvodnenia 4 nariadenia GDPR, právo na ochranu osobných údajov nie je absolútne právo. Toto právo sa totiž musí posudzovať vo vzťahu k jeho funkcii v spoločnosti a musí byť vyvážené s ostatnými základnými právami, a to v súlade so zásadou proporcionality, ako to Súdny dvor v podstate potvrdil v bode 172 rozsudku zo 16. júla 2020, Facebook Ireland a Schrems (C‑311/18, EU:C:2020:559).
48 Preto možno pripustiť, že za osobitných okolností nie je možné poskytnúť informácie o konkrétnych príjemcoch. Právo na prístup k údajom môže byť teda obmedzené na informácie o kategóriách príjemcov, ak nie je možné informovať o totožnosti konkrétnych príjemcov, najmä ak títo príjemcovia ešte nie sú známi.
49 Okrem toho treba pripomenúť, že podľa článku 12 ods. 5 písm. b) nariadenia GDPR môže prevádzkovateľ v súlade so zásadou zodpovednosti uvedenou v článku 5 ods. 2 tohto nariadenia, ako aj s odôvodnením 74 tohto nariadenia odmietnuť vyhovieť žiadostiam dotknutej osoby, ak sú tieto žiadosti zjavne nedôvodné alebo neprimerané, pričom treba spresniť, že ten istý prevádzkovateľ je povinný preukázať, že uvedené žiadosti sú zjavne nedôvodné alebo neprimerané.
50 V prejednávanej veci z návrhu na začatie prejudiciálneho konania vyplýva, že Österreichische Post zamietla žiadosť podanú RW na základe článku 15 ods. 1 nariadenia GDPR, ktorou sa domáhal toho, aby ho Österreichische Post informovala o totožnosti príjemcov, ktorým poskytla osobné údaje, ktoré sa ho týkajú. Vnútroštátnemu súdu prináleží overiť, či vzhľadom na okolnosti, o ktoré ide vo veci samej, Österreichische Post preukázala, že táto žiadosť je zjavne nedôvodná alebo neprimeraná.
51 Vzhľadom na všetky vyššie uvedené úvahy treba na prejudiciálnu otázku odpovedať tak, že článok 15 ods. 1 písm. c) nariadenia GDPR sa má vykladať v tom zmysle, že právo dotknutej osoby na prístup k osobným údajom, ktoré sa jej týkajú, stanovené v tomto ustanovení, znamená v prípade, že tieto údaje boli alebo budú poskytnuté príjemcom, povinnosť prevádzkovateľa poskytnúť tejto osobe konkrétnu totožnosť týchto príjemcov, pokiaľ možno identifikovať týchto príjemcov alebo uvedený prevádzkovateľ nepreukáže, že žiadosti dotknutej osoby o prístup sú zjavne nedôvodné alebo neprimerané v zmysle článku 12 ods. 5 nariadenia GDPR, pričom v takýchto prípadoch môže prevádzkovateľ informovať dotknutú osobu len o kategóriách dotknutých príjemcov.
O trovách
52 Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní pred vnútroštátnym súdom, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.
Z týchto dôvodov Súdny dvor (prvá komora) rozhodol takto:
Článok 15 ods. 1 písm. c) nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov),
sa má vykladať v tom zmysle, že:
právo dotknutej osoby na prístup k osobným údajom, ktoré sa jej týkajú, stanovené v tomto ustanovení, znamená v prípade, že tieto údaje boli alebo budú poskytnuté príjemcom, povinnosť prevádzkovateľa poskytnúť tejto osobe konkrétnu totožnosť týchto príjemcov, pokiaľ možno identifikovať týchto príjemcov alebo uvedený prevádzkovateľ nepreukáže, že žiadosti dotknutej osoby o prístup sú zjavne nedôvodné alebo neprimerané v zmysle článku 12 ods. 5 nariadenia 2016/679, pričom v takýchto prípadoch môže prevádzkovateľ informovať dotknutú osobu len o kategóriách dotknutých príjemcov.
Podpisy