TEISINGUMO TEISMO (pirmoji kolegija) SPRENDIMAS
2023 m. sausio 12 d.(*)
„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 15 straipsnio 1 dalies c punktas – Duomenų subjekto teisė susipažinti su savo duomenimis – Informacija apie duomenų gavėjus arba duomenų gavėjų, kuriems buvo arba bus atskleisti asmens duomenys, kategorijas – Apribojimai“
Byloje C‑154/21
dėl Oberster Gerichtshof (Aukščiausiasis Teismas, Austrija) 2021 m. vasario 18 d. nutartimi, kurią Teisingumo Teismas gavo 2021 m. kovo 9 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje
RW
prieš
Österreichische Post AG
TEISINGUMO TEISMAS (pirmoji kolegija),
kurį sudaro kolegijos pirmininkas A. Arabadjiev, pirmosios kolegijos teisėjo pareigas einantis Teisingumo Teismo pirmininko pavaduotojas L. Bay Larsen, teisėjai P. G. Xuereb, A. Kumin ir I. Ziemele (pranešėja),
generalinis advokatas G. Pitruzzella,
kancleris A. Calot Escobar,
atsižvelgęs į rašytinę proceso dalį,
išnagrinėjęs pastabas, pateiktas:
– RW, atstovaujamo Rechtsanwalt R. Haupt,
– Österreichische Post AG, atstovaujamos Rechtsanwalt R. Marko,
– Austrijos vyriausybės, atstovaujamos G. Kunnert, A. Posch ir J. Schmoll,
– Čekijos vyriausybės, atstovaujamos M. Smolek ir J. Vláčil,
– Italijos vyriausybės, atstovaujamos G. Palmieri, padedamos avvocato dello Stato M. Russo,
– Latvijos vyriausybės, atstovaujamos J. Davidoviča, I. Hūna ir K. Pommere,
– Rumunijos vyriausybės, atstovaujamos L.-E. Baţagoi, E. Gane ir A. Wellman,
– Švedijos vyriausybės, atstovaujamos H. Eklinder, J. Lundberg, C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson, H. Shev ir O. Simonsson,
– Europos Komisijos, atstovaujamos F. Erlbacher ir H. Kranenborg,
susipažinęs su 2022 m. birželio 9 d. posėdyje pateikta generalinio advokato išvada,
priima šį
Sprendimą
1 Prašymas priimti prejudicinį sprendimą pateiktas dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1) (toliau – BDAR) 15 straipsnio 1 dalies c punkto išaiškinimo.
2 Šis prašymas pateiktas nagrinėjant RW ir Österreichische Post AG (toliau – Österreichische Post) ginčą dėl prašymo leisti susipažinti su asmens duomenimis pagal BDAR 15 straipsnio 1 dalies c punktą.
Teisinis pagrindas
3 BDAR 4, 9, 10, 39, 63 ir 74 konstatuojamosios dalys suformuluotos taip:
„(4) <…> Teisė į asmens duomenų apsaugą nėra absoliuti; ji turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį ir derėti su kitomis pagrindinėmis teisėmis, remiantis proporcingumo principu. <…>
<…>
(9) [1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355)] tikslai ir principai tebėra pagrįsti, tačiau ji neužkirto kelio suskaidytam duomenų apsaugos įgyvendinimui [Europos] Sąjungoje, teisiniam netikrumui ar plačiai paplitusiai viešajai nuomonei, kad fizinių asmenų apsaugai kyla didelių pavojų, visų pirma dėl veiklos internete. Dėl skirtingo fizinių asmenų teisių ir laisvių, visų pirma teisės į asmens duomenų apsaugą tvarkant asmens duomenis, apsaugos lygio valstybėse narėse gali būti trikdomas laisvas asmens duomenų judėjimas Sąjungoje. Todėl tokie skirtumai gali kliudyti užsiimti ekonomine veikla Sąjungos lygmeniu, iškreipti konkurenciją ir trukdyti valdžios institucijoms vykdyti savo pareigas pagal Sąjungos teisę. Tokią skirtingo lygio apsaugą lemia nevienodas Direktyvos 95/46/EB įgyvendinimas ir taikymas;
(10) siekiant užtikrinti vienodo ir aukšto lygio fizinių asmenų apsaugą ir pašalinti asmens duomenų judėjimo Sąjungoje kliūtis, visose valstybėse narėse turėtų būti užtikrinama lygiavertė asmenų teisių ir laisvių apsauga tvarkant tokius duomenis. <…>
<…>
(39) bet kuris asmens duomenų tvarkymas turėtų būti teisėtas ir sąžiningas. Taikant skaidrumo principą, fiziniams asmenims turėtų būti aišku, kaip su jais susiję asmens duomenys yra renkami, naudojami, su jais susipažįstama arba jie yra kitaip tvarkomi, taip pat kokiu mastu tie asmens duomenys yra ar bus tvarkomi. Pagal skaidrumo principą informacija ir pranešimai, susiję su tų asmens duomenų tvarkymu, turi būti lengvai prieinami ir suprantami, pateikiami aiškia ir paprasta kalba. <…>
<…>
(63) duomenų subjektas turėtų turėti teisę susipažinti su apie jį surinktais asmens duomenimis ir galimybę ta teise lengvai ir pagrįstais laiko tarpais pasinaudoti, kad žinotų apie duomenų tvarkymą ir galėtų patikrinti jo teisėtumą. <…> Todėl kiekvienas duomenų subjektas turėtų turėti teisę žinoti ir būti informuotas visų pirma apie tai, kokiais tikslais asmens duomenys tvarkomi, jei įmanoma – kokiu laikotarpiu jie tvarkomi, kas yra duomenų gavėjai, pagal kokią logiką asmens duomenys tvarkomi automatiškai ir kokios galėtų būti tokio asmens duomenų tvarkymo pasekmės bent jau tais atvejais, kai duomenų tvarkymas grindžiamas profiliavimu. <…> Ta teisė neturėtų turėti neigiamo poveikio kitų asmenų teisėms ar laisvėms, įskaitant komercines paslaptis arba intelektinės nuosavybės teises, ypač autorių teises, kuriomis saugoma programinė įranga. Tačiau tai neturėtų lemti, kad duomenų subjektui būtų atsisakyta suteikti visą informaciją. <…>
<…>
(74) turėtų būti nustatyta duomenų valdytojo atsakomybė už bet kokį duomenų valdytojo arba jo vardu vykdomą asmens duomenų tvarkymą. Duomenų valdytojas visų pirma turėtų būti įpareigotas įgyvendinti tinkamas ir veiksmingas priemones ir galėti įrodyti, kad duomenų tvarkymo veikla atitinka šį reglamentą, įskaitant priemonių veiksmingumą. Tomis priemonėmis turėtų būti atsižvelgta į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, taip pat į pavojų fizinių asmenų teisėms ir laisvėms.“
4 BDAR 1 straipsnio „Dalykas ir tikslai“ 2 dalyje nustatyta:
„Šiuo reglamentu saugomos fizinių asmenų pagrindinės teisės ir laisvės, visų pirma jų teisė į asmens duomenų apsaugą.“
5 BDAR 5 straipsnyje „Su asmens duomenų tvarkymu susiję principai“ numatyta:
„1. Asmens duomenys turi būti:
a) duomenų subjekto atžvilgiu tvarkomi teisėtu, sąžiningu ir skaidriu būdu (teisėtumo, sąžiningumo ir skaidrumo principas);
<…>
2. Duomenų valdytojas yra atsakingas už tai, kad būtų laikomasi 1 dalies, ir turi sugebėti įrodyti, kad jos laikomasi (atskaitomybės principas).“
6 Šio reglamento 12 straipsnyje „Skaidrus informavimas, pranešimas ir duomenų subjekto naudojimosi savo teisėmis sąlygos“ nustatyta:
„1. Duomenų valdytojas imasi tinkamų priemonių, kad visą 13 ir 14 straipsniuose nurodytą informaciją ir visus pranešimus pagal 15–22 ir 34 straipsnius, susijusius su duomenų tvarkymu, duomenų subjektui pateiktų glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia ir paprasta kalba, ypač jei informacija yra konkrečiai skirta vaikui. Informacija pateikiama raštu arba kitomis priemonėmis, įskaitant, prireikus, elektronine forma. Duomenų subjekto prašymu informacija gali būti suteikta žodžiu, jeigu duomenų subjekto tapatybė įrodoma kitomis priemonėmis.
2. Duomenų valdytojas sudaro palankesnes sąlygas naudotis 15–22 straipsniuose nustatytomis duomenų subjekto teisėmis. 11 straipsnio 2 dalyje nurodytais atvejais duomenų valdytojas neatsisako imtis veiksmų pagal duomenų subjekto prašymą pasinaudoti teisėmis pagal 15–22 straipsnius, nebent duomenų valdytojas įrodo, kad jis negali nustatyti duomenų subjekto tapatybės.
<…>
5. Pagal 13 ir 14 straipsnius teikiama informacija ir visi pranešimai bei visi veiksmai pagal 15–22 ir 34 straipsnius yra nemokami. Kai duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl jų pasikartojančio turinio, duomenų valdytojas gali arba:
a) imti pagrįstą mokestį, atsižvelgdamas į informacijos teikimo arba pranešimų ar veiksmų, kurių prašoma, administracines išlaidas; arba
b) gali atsisakyti imtis veiksmų pagal prašymą.
Duomenų valdytojui tenka pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.
<…>“
7 BDAR 13 straipsnio „Informacija, kuri turi būti pateikta, kai asmens duomenys renkami iš duomenų subjekto“ 1 dalyje numatyta:
„Kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą šią informaciją:
<…>
e) jei yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas; <…>
<…>“
8 BDAR 14 straipsnio „Informacija, kuri turi būti pateikta, kai asmens duomenys yra gauti ne iš duomenų subjekto“ 1 dalyje nustatyta:
„Kai asmens duomenys yra gauti ne iš duomenų subjekto, duomenų valdytojas pateikia duomenų subjektui šią informaciją:
<…>
e) jei jos yra, asmens duomenų gavėjus arba asmens duomenų gavėjų kategorijas;
<…>“
9 BDAR 15 straipsnyje „Duomenų subjekto teisė susipažinti su duomenimis“ numatyta:
„1. Duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir toliau nurodyta informacija:
a) duomenų tvarkymo tikslai;
b) atitinkamų asmens duomenų kategorijos;
c) duomenų gavėjai arba duomenų gavėjų kategorijos, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma duomenų gavėjai trečiosiose valstybėse arba tarptautinės organizacijos;
d) kai įmanoma, numatomas asmens duomenų saugojimo laikotarpis arba, jei neįmanoma, kriterijai, taikomi tam laikotarpiui nustatyti;
e) teisė prašyti duomenų valdytojo ištaisyti arba ištrinti asmens duomenis ar apriboti su duomenų subjektu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;
f) teisė pateikti skundą priežiūros institucijai;
g) kai asmens duomenys renkami ne iš duomenų subjekto, visa turima informacija apie jų šaltinius;
h) tai, kad esama 22 straipsnio 1 ir 4 dalyse nurodyto automatizuoto sprendimų priėmimo, įskaitant profiliavimą, ir, bent tais atvejais, prasminga informacija apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui.
2. Kai asmens duomenys perduodami į trečiąją valstybę arba tarptautinei organizacijai, duomenų subjektas turi teisę būti informuotas apie tinkamas su duomenų perdavimu susijusias apsaugos priemones pagal 46 straipsnį.
3. Duomenų valdytojas pateikia tvarkomų asmens duomenų kopiją. Už bet kurias kitas duomenų subjekto prašomas kopijas duomenų valdytojas gali imti pagrįstą mokestį, nustatomą pagal administracines išlaidas. Kai duomenų subjektas prašymą pateikia elektroninėmis priemonėmis ir išskyrus atvejus, kai duomenų subjektas paprašo ją pateikti kitaip, informacija pateikiama įprastai naudojama elektronine forma.
4. 3 dalyje nurodyta teisė gauti kopiją negali daryti neigiamo poveikio kitų teisėms ir laisvėms.“
10 BDAR 16 straipsnyje „Teisė reikalauti ištaisyti duomenis“ nustatyta:
„Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištaisytų netikslius su juo susijusius asmens duomenis. Atsižvelgiant į tikslus, kuriais duomenys buvo tvarkomi, duomenų subjektas turi teisę reikalauti, kad būtų papildyti neišsamūs asmens duomenys, be kita ko, pateikdamas papildomą pareiškimą.“
11 BDAR 17 straipsnyje „Teisė reikalauti ištrinti duomenis („Teisė būti pamirštam“)“ numatyta:
„1. Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas nepagrįstai nedelsdamas ištrintų su juo susijusius asmens duomenis, o duomenų valdytojas yra įpareigotas nepagrįstai nedelsdamas ištrinti asmens duomenis, jei tai galima pagrįsti viena iš šių priežasčių:
a) asmens duomenys nebėra reikalingi, kad būtų pasiekti tikslai, kuriais jie buvo renkami arba kitaip tvarkomi;
b) asmens duomenų subjektas atšaukia sutikimą, kuriuo pagal 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą grindžiamas duomenų tvarkymas, ir nėra jokio kito teisinio pagrindo tvarkyti duomenis;
c) asmens duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 1 dalį ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis arba duomenų subjektas nesutinka su duomenų tvarkymu pagal 21 straipsnio 2 dalį;
d) asmens duomenys buvo tvarkomi neteisėtai;
e) asmens duomenys turi būti ištrinti laikantis Sąjungos arba valstybės narės teisėje, kuri taikoma duomenų valdytojui, nustatytos teisinės prievolės;
f) asmens duomenys buvo surinkti 8 straipsnio 1 dalyje nurodyto informacinės visuomenės paslaugų siūlymo kontekste.
2. Kai duomenų valdytojas viešai paskelbė asmens duomenis ir pagal 1 dalį privalo asmens duomenis ištrinti, duomenų valdytojas, atsižvelgdamas į turimas technologijas ir įgyvendinimo sąnaudas, imasi pagrįstų veiksmų, įskaitant technines priemones, kad informuotų duomenis tvarkančius duomenų valdytojus, jog duomenų subjektas paprašė, kad tokie duomenų valdytojai ištrintų visas nuorodas į tuos asmens duomenis arba jų kopijas ar dublikatus.
<…>“
12 BDAR 18 straipsnio „Teisė apriboti duomenų tvarkymą“ 1 dalyje nustatyta:
„Duomenų subjektas turi teisę reikalauti, kad duomenų valdytojas apribotų duomenų tvarkymą[,] kai taikomas vienas iš šių atvejų:
a) asmens duomenų subjektas užginčija duomenų tikslumą tokiam laikotarpiui, per kurį duomenų valdytojas gali patikrinti asmens duomenų tikslumą;
b) asmens duomenų tvarkymas yra neteisėtas ir duomenų subjektas nesutinka, kad duomenys būtų ištrinti, ir vietoj to prašo apriboti jų naudojimą;
c) duomenų valdytojui nebereikia asmens duomenų tvarkymo tikslais, tačiau jų reikia duomenų subjektui siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus; arba
d) duomenų subjektas pagal 21 straipsnio 1 dalį paprieštaravo duomenų tvarkymui, kol bus patikrinta, ar duomenų valdytojo teisėtos priežastys yra viršesnės už duomenų subjekto priežastis.
<…>“
13 RGPD 19 straipsnis suformuluotas taip:
„Kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, duomenų valdytojas praneša apie bet kokį asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, vykdomą pagal 16 straipsnį, 17 straipsnio 1 dalį ir 18 straipsnį, nebent to padaryti nebūtų įmanoma arba tai pareikalautų neproporcingų pastangų. Duomenų subjektui paprašius, duomenų valdytojas informuoja duomenų subjektą apie tuos duomenų gavėjus.“
14 BDAR 21 straipsnyje „Teisė į duomenų perkeliamumą“ nustatyta:
„1. Duomenų subjektas turi teisę dėl su jo konkrečiu atveju susijusių priežasčių bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, kai toks duomenų tvarkymas vykdomas pagal 6 straipsnio 1 dalies e arba f punktus, įskaitant profiliavimą remiantis tomis nuostatomis. Duomenų valdytojas nebetvarko asmens duomenų, išskyrus atvejus, kai duomenų valdytojas įrodo, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus.
2. Kai asmens duomenys tvarkomi tiesioginės rinkodaros tikslais, duomenų subjektas turi teisę bet kuriuo metu nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi tokios rinkodaros tikslais, įskaitant profiliavimą, kiek jis susijęs su tokia tiesiogine rinkodara.
3. Kai duomenų subjektas prieštarauja duomenų tvarkymui tiesioginės rinkodaros tikslais, asmens duomenys tokiais tikslais nebetvarkomi.
4. Duomenų subjektas apie 1 ir 2 dalyse nurodytą teisę aiškiai informuojamas ne vėliau kaip pirmą kartą susisiekiant su duomenų subjektu, ir ši informacija pateikiama aiškiai ir atskirai nuo visos kitos informacijos.
5. Naudojimosi informacinės visuomenės paslaugomis atveju, nepaisant [2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyvos 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje (Direktyva dėl privatumo ir elektroninių ryšių) (OL L 201, 2002, p. 37; 2004 m. specialusis leidimas lietuvių k., 13 sk., 29 t., p. 514)], duomenų subjektas gali naudotis savo teise nesutikti automatizuotomis priemonėmis, kurioms naudojamos techninės specifikacijos.
6. Kai asmens duomenys yra tvarkomi mokslinių ar istorinių tyrimų arba statistiniais tikslais pagal 89 straipsnio 1 dalį, duomenų subjektas dėl su jo konkrečiu atveju susijusių priežasčių turi teisę nesutikti, kad su juo susiję asmens duomenys būtų tvarkomi, išskyrus atvejus, kai duomenis tvarkyti yra būtina siekiant atlikti užduotį, vykdomą dėl viešojo intereso priežasčių.“
15 BDAR 79 straipsnio „Teisė imtis veiksmingų teisminių teisių gynimo priemonių prieš duomenų valdytoją arba duomenų tvarkytoją“ 1 dalyje nustatyta:
„Nedarant poveikio galimybei imtis bet kokių galimų administracinių arba neteisminių teisių gynimo priemonių, įskaitant teisę pateikti skundą priežiūros institucijai pagal 77 straipsnį, kiekvienas duomenų subjektas turi teisę imtis veiksmingų teisminių teisių gynimo priemonių, jeigu mano, kad šiuo reglamentu nustatytos jo teisės buvo pažeistos, nes jo asmens duomenys buvo tvarkomi pažeidžiant šį reglamentą.“
16 BDAR 82 straipsnio „Teisė į kompensaciją ir atsakomybė“ 1 dalyje numatyta:
„Bet kuris asmuo, patyręs materialinę ar nematerialinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.“
Pagrindinė byla ir prejudicinis klausimas
17 2019 m. sausio 15 d. RW pagal BDAR 15 straipsnį kreipėsi į Österreichische Post, prašydamas leisti susipažinti su šios saugomais arba anksčiau saugotais jo asmens duomenimis ir, jei šie duomenys buvo atskleisti tretiesiems asmenims, nurodyti šių duomenų gavėjų tapatybę.
18 Atsakyme į šį prašymą Österreichische Post tik nurodė, kad naudoja duomenis, kiek tai leidžia teisės normos, vykdydama savo, kaip adresų (telefonų) knygų leidėjo, veiklą ir teikia šiuos asmens duomenis verslo partneriams rinkodaros tikslais. Be to, išsamesnės informacijos ir kitų duomenų tvarkymo tikslų ji nurodė ieškoti interneto svetainėje. Ji neatskleidė RW konkrečių duomenų gavėjų tapatybės.
19 RW kreipėsi į Austrijos teismus su prašymu įpareigoti Österreichische Post pateikti jam, be kita ko, taip atskleistų jo asmens duomenų gavėjo (-ų) tapatybę.
20 Vykstant dėl to pradėtam teismo procesui, Österreichische Post informavo RW, kad jo asmens duomenys buvo tvarkomi rinkodaros tikslais ir perduoti klientams, įskaitant reklamos užsakovus, vykdančius veiklą prekybos paštu ir tradicinės prekybos srityse, informatikos paslaugų įmones, adresų knygų leidėjus ir asociacijas, kaip antai labdaros organizacijas, nevyriausybines organizacijas (NVO) ar politines partijas.
21 Pirmosios ir apeliacinės instancijos teismai atmetė RW ieškinį, motyvuodami tuo, kad pagal BDAR 15 straipsnio 1 dalies c punktą, kiek jame nurodyti „duomenų gavėjai arba duomenų gavėjų kategorijos“, duomenų valdytojui suteikiama galimybė duomenų subjektui nurodyti tik duomenų gavėjų kategorijas, neįvardijant konkrečių duomenų gavėjų, kuriems perduodami asmens duomenys.
22 RW pateikė kasacinį skundą Oberster Gerichtshof (Aukščiausiasis Teismas, Austrija), prašymą priimti prejudicinį sprendimą pateikusiam teismui.
23 Tam teismui kyla klausimas dėl BDAR 15 straipsnio 1 dalies c punkto aiškinimo, nes iš šios nuostatos formuluotės neaišku, ar pagal ją duomenų subjektui suteikiama teisė susipažinti su informacija apie konkrečius atskleistų duomenų gavėjus, ar duomenų valdytojas turi diskreciją pasirinkti, kokių veiksmų jis ketina imtis pagal prašymą leisti susipažinti su informacija apie gavėjus.
24 Vis dėlto prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad minėtos nuostatos ratio legis veikiau patvirtina aiškinimą, pagal kurį būtent duomenų subjektas gali prašyti informacijos apie jo asmens duomenų gavėjų kategorijas arba konkrečius duomenų gavėjus. Jo teigimu, bet koks priešingas aiškinimas labai pakenktų duomenų subjekto turimų teisių gynimo priemonių, kuriomis jis gali apsaugoti savo duomenis, veiksmingumui. Iš tiesų, jei duomenų valdytojams būtų suteikta galimybė pasirinkti, ar nurodyti duomenų subjektams konkrečius duomenų gavėjus, ar tik duomenų gavėjų kategorijas, tikėtina, kad praktiškai beveik nė vienas iš jų nepateiktų informacijos apie konkrečius duomenų gavėjus.
25 Be to, priešingai nei BDAR 13 straipsnio 1 dalies e punkte ir 14 straipsnio 1 dalies e punkte, kuriuose numatyta duomenų valdytojui tenkanti pareiga pateikti tose nuostatose nurodytą informaciją, šio reglamento 15 straipsnio 1 dalyje akcentuojama duomenų subjekto teisės susipažinti su duomenimis apimtis, o tas, prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, taip pat rodo, kad duomenų subjektas turi teisę pasirinkti, ar prašyti informacijos apie konkrečius duomenų gavėjus, ar apie duomenų gavėjų kategorijas.
26 Galiausiai prašymą priimti prejudicinį sprendimą pateikęs teismas priduria, kad BDAR 15 straipsnio 1 dalyje numatyta teisė susipažinti su duomenimis susijusi ne tik su šiuo metu tvarkomais, bet ir su visais anksčiau tvarkytais asmens duomenimis. Šiuo klausimu jis patikslina, kad 2009 m. gegužės 7 d. Sprendime Rijkeboer (C‑553/07, EU:C:2009:293) pateikti argumentai, grindžiami Direktyvoje 95/46 numatytos teisės susipažinti su duomenimis tikslu, gali būti taikomi BDAR 15 straipsnyje nurodytai teisei susipažinti su duomenimis, juolab atsižvelgiant į tai, kad iš šios direktyvos 9 ir 10 konstatuojamųjų dalių galima daryti išvadą, jog Sąjungos teisės aktų leidėjas neketino sumažinti apsaugos lygio, palyginti su šia direktyva.
27 Šiomis aplinkybėmis Oberster Gerichtshof (Aukščiausiasis Teismas) nutarė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šį prejudicinį klausimą:
„Ar [BDAR] 15 straipsnio 1 dalies c punktą reikia aiškinti taip, kad duomenų subjekto teisė susipažinti su duomenimis apsiriboja informacija, susijusia su duomenų gavėjų kategorijomis, kai konkretūs duomenų gavėjai dar nėra konkrečiai nustatyti numatant atskleisti informaciją, bet ši teisė būtinai turi apimti ir tokios atskleistos informacijos duomenų gavėjus, kai duomenys jau yra atskleisti?“
Dėl prejudicinio klausimo
28 Prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 15 straipsnio 1 dalies c punktas turi būti aiškinamas taip, kad šioje nuostatoje numatyta duomenų subjekto teisė susipažinti su savo asmens duomenimis reiškia duomenų valdytojo pareigą nurodyti šiam duomenų subjektui, kai šie duomenys buvo arba bus atskleisti duomenų gavėjams, konkrečią šių duomenų gavėjų tapatybę.
29 Pirmiausia reikia priminti, kad remiantis suformuota jurisprudencija aiškinant Sąjungos teisės nuostatą reikia atsižvelgti ne tik į jos tekstą, bet ir į kontekstą ir teisės akto, kuriame ji įtvirtinta, tikslus ir paskirtį (2022 m. kovo 15 d. Sprendimo Autorité des marchés financiers, C‑302/20, EU:C:2022:190, 63 punktas). Be to, kai Sąjungos teisės nuostatą galima aiškinti įvairiai, pirmenybė turi būti teikiama tam aiškinimui, kuris užtikrintų jos veiksmingumą (2018 m. kovo 7 d. Sprendimo Cristal Union, C‑31/17, EU:C:2018:168, 41 punktas ir jame nurodyta jurisprudencija).
30 Visų pirma, kiek tai susiję su BDAR 15 straipsnio 1 dalies c punkto formuluote, reikia priminti, kad šioje nuostatoje nurodyta, jog duomenų subjektas turi teisę iš duomenų valdytojo gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jeigu tokie asmens duomenys yra tvarkomi, – teisę susipažinti su asmens duomenimis ir informacija apie duomenų gavėjus ar duomenų gavėjų, kuriems buvo arba bus atskleisti šie asmens duomenys, kategorijas.
31 Šiuo klausimu reikia pažymėti, kad šioje nuostatoje esančios sąvokos „duomenų gavėjai“ ir „duomenų gavėjų kategorijos“ vartojamos viena po kitos, nepaliekant galimybės nustatyti jų prioritetinės tvarkos.
32 Taigi reikia konstatuoti, kad BDAR 15 straipsnio 1 dalies c punkto formuluotė neleidžia vienareikšmiškai nustatyti, ar duomenų subjektas turi teisę būti informuotas, kai jo asmens duomenys buvo arba bus atskleisti, apie konkrečią duomenų gavėjų tapatybę.
33 Be to, kiek tai susiję su BDAR 15 straipsnio 1 dalies c punkto kontekstu, svarbu priminti, pirma, kad šio reglamento 63 konstatuojamojoje dalyje numatyta, jog duomenų subjektas turi turėti teisę žinoti ir būti informuotas visų pirma apie šių asmens duomenų gavėjų tapatybę, ir nepatikslinama, kad ši teisė gali būti apribota tik duomenų gavėjų kategorijomis, kaip savo išvados 23 punkte pažymėjo generalinis advokatas.
34 Antra, taip pat reikia priminti, jog tam, kad būtų paisoma teisės susipažinti su duomenimis, bet koks fizinių asmenų asmens duomenų tvarkymas turi atitikti BDAR 5 straipsnyje įtvirtintus principus (šiuo klausimu žr. 2019 m. sausio 16 d. Sprendimo Deutsche Post, C‑496/17, EU:C:2019:26, 57 punktą).
35 Tarp šių principų yra BDAR 5 straipsnio 1 dalies a punkte įtvirtintas skaidrumo principas, kuris, kaip matyti iš šio reglamento 39 konstatuojamosios dalies, reiškia, kad duomenų subjektas turi turėti informacijos apie tai, kaip tvarkomi jo asmens duomenys, ir kad ši informacija turi būti lengvai prieinama ir suprantama.
36 Trečia, reikia pažymėti, kad, kaip savo išvados 21 punkte pažymėjo generalinis advokatas, priešingai nei BDAR 13 ir 14 straipsniuose, kuriuose įtvirtinta duomenų valdytojo pareiga duomenų subjektui suteikti informaciją apie jo asmens duomenų gavėjus arba konkrečius duomenų gavėjus, kai ši informacija renkama arba nerenkama iš duomenų subjekto, BDAR 15 straipsnyje numatyta tikra duomenų subjekto teisė susipažinti su duomenimis, todėl duomenų subjektas turi turėti galimybę pasirinkti, ar, jei įmanoma, gauti informaciją apie konkrečius duomenų gavėjus, kuriems duomenys buvo ar bus atskleisti, ar informaciją apie duomenų gavėjų kategorijas.
37 Ketvirta, Teisingumo Teismas jau yra nusprendęs, kad naudodamasis šia teise susipažinti su duomenimis duomenų subjektas turi turėti galimybę ne tik patikrinti, ar su juo susiję duomenys yra tikslūs, bet ir ar jie tvarkomi teisėtai (pagal analogiją žr.2014 m. liepos 17 d. Sprendimo YS ir kt., C‑141/12 ir C‑372/12, EU:C:2014:2081, 44 punktą ir 2017 m. gruodžio 20 d. Sprendimo Nowak, C‑434/16, EU:C:2017:994, 57 punktą), ir, be kita ko, ar jie buvo atskleisti įgaliotiems duomenų gavėjams (pagal analogiją žr. 2009 m. gegužės 7 d. Sprendimo Rijkeboer, C‑553/07, EU:C:2009:293, 49 punktą).
38 Konkrečiai kalbant, ši teisė susipažinti su duomenimis yra būtina tam, kad duomenų subjektas prireikus galėtų pasinaudoti teise ištaisyti duomenis, teise ištrinti duomenis („teisė būti pamirštam“) ir teise apriboti duomenų tvarkymą, kurios jam suteiktos atitinkamai pagal BDAR 16, 17 ir 18 straipsnius (pagal analogiją žr. 2014 m. liepos 17 d. Sprendimo YS ir kt., C‑141/12 ir C‑372/12, EU:C:2014:2081, 44 punktą ir 2017 m. gruodžio 20 d. Sprendimo Nowak, C‑434/16, EU:C:2017:994, 57 punktą), taip pat BDAR 21 straipsnyje numatyta teise nesutikti, kad jo asmens duomenys būtų tvarkomi, ir BDAR 79 ir 82 straipsniuose numatyta teise pateikti ieškinį, kai patiriama žalos (pagal analogiją žr. 2009 m. gegužės 7 d. Sprendimo Rijkeboer, C‑553/07, EU:C:2009:293, 52 punktą).
39 Taigi, siekiant užtikrinti visų šio sprendimo pirmesniame punkte minėtų teisių veiksmingumą, duomenų subjektas visų pirma turi turėti teisę būti informuotas apie konkrečių duomenų gavėjų tapatybę tuo atveju, kai jo asmens duomenys jau buvo atskleisti.
40 Galiausiai, penkta, tokį aiškinimą patvirtina BDAR 19 straipsnis, kurio pirmame sakinyje numatyta, kad kiekvienam duomenų gavėjui, kuriam buvo atskleisti asmens duomenys, duomenų valdytojas iš principo praneša apie bet kokį asmens duomenų ištaisymą, ištrynimą arba tvarkymo apribojimą, o šio straipsnio antrame sakinyje numatyta, kad, duomenų subjektui paprašius, duomenų valdytojas informuoja duomenų subjektą apie tuos duomenų gavėjus.
41 BDAR 19 straipsnio antrame sakinyje duomenų subjektui aiškiai suteikiama teisė gauti iš duomenų valdytojo informaciją apie konkrečius su juo susijusių duomenų gavėjus, kai duomenų valdytojas turi pareigą informuoti visus duomenų gavėjus apie naudojimąsi teisėmis, kurias šis duomenų subjektas turi pagal BDAR 16 straipsnį, 17 straipsnio 1 dalį ir 18 straipsnį.
42 Iš pateiktos kontekstinės analizės matyti, kad BDAR 15 straipsnio 1 dalies c punktas yra viena iš nuostatų, kuriomis siekiama užtikrinti asmens duomenų tvarkymo būdų skaidrumą duomenų subjekto atžvilgiu ir pagal kurias, kaip nurodė generalinis advokatas savo išvados 33 punkte, duomenų subjektui leidžiama pasinaudoti išimtinėmis teisėmis, numatytomis, be kita ko, BDAR 16–19, 21, 79 ir 82 straipsniuose.
43 Taigi reikia konstatuoti, kad pagal BDAR 15 straipsnio 1 dalies c punkte numatytą teisę susipažinti su duomenimis duomenų subjektui pateikta informacija turi būti kuo tikslesnė. Visų pirma ši teisė susipažinti su dokumentais reiškia, kad duomenų subjektas turi galimybę iš duomenų valdytojo gauti informaciją apie konkrečius duomenų gavėjus, kuriems duomenys buvo arba bus atskleisti, arba kaip alternatyvą apsiriboti prašymu gauti informaciją apie duomenų gavėjų kategorijas.
44 Galiausiai, kiek tai susiję su BDAR siekiamu tikslu, reikia pažymėti, kad šiuo reglamentu, kaip matyti iš jo 10 konstatuojamosios dalies, siekiama, be kita ko, užtikrinti aukštą fizinių asmenų apsaugos lygį Sąjungoje (2020 m. spalio 6 d. Sprendimo La Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 207 punktas). Šiuo klausimu, kaip savo išvados 14 punkte iš esmės pažymėjo generalinis advokatas, BDAR sukurtu bendruoju teisiniu pagrindu įgyvendinami reikalavimai, kylantys iš Europos Sąjungos pagrindinių teisių chartijos 8 straipsnyje įtvirtintos pagrindinės teisės į asmens duomenų apsaugą, būtent reikalavimai, aiškiai numatyti šio straipsnio 2 dalyje (šiuo klausimu žr. 2017 m. kovo 9 d. Sprendimo Manni, C‑398/15, EU:C:2017:197, 40 punktą).
45 Šis tikslas patvirtina BDAR 15 straipsnio 1 dalies aiškinimą, pateiktą šio sprendimo 43 punkte.
46 Taigi iš BDAR siekiamo tikslo taip pat matyti, kad duomenų subjektas turi teisę iš duomenų valdytojo gauti informaciją apie konkrečius duomenų gavėjus, kuriems buvo ar bus atskleisti su duomenų subjektu susiję asmens duomenys.
47 Atsižvelgiant į tai, galiausiai reikia pažymėti, kad, kaip matyti iš BDAR 4 konstatuojamosios dalies, teisė į asmens duomenų apsaugą nėra absoliuti teisė. Ši teisė turi būti vertinama atsižvelgiant į jos visuomeninę paskirtį ir derėti su kitomis pagrindinėmis teisėmis, remiantis proporcingumo principu, kaip Teisingumo Teismas iš esmės patvirtino 2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems (C‑311/18, EU:C:2020:559) 172 punkte.
48 Taigi galima pripažinti, kad konkrečiomis aplinkybėmis neįmanoma pateikti informacijos apie konkrečius duomenų gavėjus. Todėl teisė susipažinti su dokumentais gali būti ribojama informacija apie duomenų gavėjų kategorijas, jei neįmanoma atskleisti konkrečių duomenų gavėjų tapatybės, ypač jeigu jie dar nežinomi.
49 Be to, reikia priminti, kad pagal BDAR 12 straipsnio 5 dalies b punktą duomenų valdytojas, remdamasis šio reglamento 5 straipsnio 2 dalyje ir jo 74 konstatuojamojoje dalyje nurodytu atskaitomybės principu, gali atsisakyti imtis veiksmų pagal duomenų subjekto prašymus, jeigu jie akivaizdžiai nepagrįsti arba neproporcingi, patikslinant, kad šis duomenų valdytojas pats turi įrodyti, jog minėti prašymai yra akivaizdžiai nepagrįsti arba neproporcingi.
50 Nagrinėjamu atveju iš prašymo priimti prejudicinį sprendimą matyti, kad Österreichische Post atmetė RW prašymą pagal BDAR 15 straipsnio 1 dalį nurodyti jam duomenų gavėjų, kuriems Österreichische Post atskleidė su juo susijusius asmens duomenis, tapatybę. Prašymą priimti prejudicinį sprendimą pateikęs teismas turės patikrinti, ar, atsižvelgiant į pagrindinėje byloje nagrinėjamas aplinkybes, Österreichische Post įrodė, kad tas prašymas yra akivaizdžiai nepagrįstas arba neproporcingas.
51 Atsižvelgiant į visa tai, kas išdėstyta, į prejudicinį klausimą reikia atsakyti: BDAR 15 straipsnio 1 dalies c punktas turi būti aiškinamas taip, kad šioje nuostatoje numatyta duomenų subjekto teisė susipažinti su savo asmens duomenimis reiškia duomenų valdytojo pareigą nurodyti šiam duomenų subjektui, kai šie duomenys buvo arba bus atskleisti duomenų gavėjams, konkrečią šių duomenų gavėjų tapatybę, išskyrus atvejus, kai duomenų gavėjų neįmanoma nustatyti arba kai minėtas duomenų valdytojas įrodo, kad duomenų subjekto prašymai susipažinti su duomenimis yra akivaizdžiai nepagrįsti arba neproporcingi, kaip apibrėžta BDAR 12 straipsnio 5 dalyje; tokiu atveju duomenų valdytojas gali nurodyti šiam duomenų subjektui tik atitinkamų duomenų gavėjų kategorijas.
Dėl bylinėjimosi išlaidų
52 Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti tas teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.
Remdamasis šiais motyvais, Teisingumo Teismas (pirmoji kolegija) nusprendžia:
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 15 straipsnio 1 dalies c punktas
turi būti aiškinamas taip:
šioje nuostatoje numatyta duomenų subjekto teisė susipažinti su savo asmens duomenimis reiškia duomenų valdytojo pareigą nurodyti šiam duomenų subjektui, kai šie duomenys buvo arba bus atskleisti duomenų gavėjams, konkrečią šių duomenų gavėjų tapatybę, išskyrus atvejus, kai duomenų gavėjų neįmanoma nustatyti arba kai minėtas duomenų valdytojas įrodo, kad duomenų subjekto prašymai susipažinti su duomenimis yra akivaizdžiai nepagrįsti arba neproporcingi, kaip apibrėžta Reglamento 2016/679 12 straipsnio 5 dalyje; tokiu atveju duomenų valdytojas gali nurodyti šiam duomenų subjektui tik atitinkamų duomenų gavėjų kategorijas.
Parašai.