OPINIA RZECZNIKA GENERALNEGO
JEANA RICHARDA DE LA TOURA
przedstawiona w dniu 8 września 2022 r.(1)
Sprawa C‑132/21
BE
przeciwko
Nemzeti Adatvédelmi és Információszabadság Hatóság
przy udziale
Budapesti Elektromos Művek Zrt.
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Fővárosi Törvényszék (sąd dla miasta stołecznego Budapeszt, Węgry)]
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuły 77–79 – Skarga do organu nadzorczego – Środki ochrony prawnej przed sądem – Powiązanie między środkami ochrony prawnej – Autonomia proceduralna państw członkowskich
I. Wprowadzenie
1. Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 51 ust. 1, art. 52 ust. 1, art. 77 ust. 1 oraz art. 79 ust. 1 rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)(2).
2. Niniejszy wniosek został złożony w ramach sporu pomiędzy BE a Nemzeti Adatvédelmi és Információszabadság Hatóság (krajowym organem ochrony danych i wolności informacji, Węgry; zwanym dalej „organem nadzorczym”) w przedmiocie oddalenia wniosku BE o przekazanie mu fragmentów fonogramu z walnego zgromadzenia akcjonariuszy, w którym BE uczestniczył.
3. Celem RODO jest zapewnienie skutecznego stosowania przepisów dotyczących ochrony danych osobowych poprzez ustanowienie systemu środków ochrony prawnej pozwalającego danej osobie na wniesienie skargi do organu nadzorczego, środka ochrony prawnej przed sądem od decyzji podjętej przez wspomniany organ oraz środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu, jeżeli wspomniana osoba uzna, że prawa przyznane jej na podstawie wspomnianego rozporządzenia zostały naruszone w wyniku przetwarzania jej danych osobowych z naruszeniem wspomnianego rozporządzenia.
4. Fővárosi Törvényszék (sąd dla miasta stołecznego Budapeszt, Węgry) dąży do uzyskania od Trybunału wyjaśnień w przedmiocie powiązania pomiędzy wspomnianymi środkami ochrony prawnej, a konkretniej w przedmiocie środków mających na celu uniknięcie wydawania w ramach danego państwa członkowskiego sprzecznych decyzji w przedmiocie ustalenia, czy doszło do naruszenia praw chronionych przez RODO.
5. Znaczenie tego pytania polega na tym, że wola prawodawcy unijnego, aby zapewnić skuteczną ochronę sądową praw ustanowionych przez RODO oraz zagwarantować wysoki i spójny poziom ochrony tych praw, nie wydaje się być do pogodzenia z wydawaniem w tym samym państwie członkowskim sprzecznych decyzji, co skutkuje brakiem pewności prawa.
6. W niniejszej opinii zaproponuję Trybunałowi, aby orzekł, że art. 78 ust. 1 RODO w związku z art. 47 Karty praw podstawowych Unii Europejskiej(3) należy interpretować w ten sposób, że w przypadku korzystania przez daną osobę ze środków ochrony prawnej określonych w art. 77 ust. 1 i art. 79 ust. 1 wspomnianego rozporządzenia sąd rozstrzygający w przedmiocie skargi od decyzji organu nadzorczego nie jest związany orzeczeniem sądu rozpoznającego na mocy tego ostatniego przepisu kwestię dotyczącą tego, czy doszło do naruszenia praw wspomnianej osoby, przysługujących jej na podstawie rzeczonego rozporządzenia.
7. W tym kontekście wyjaśnię, dlaczego uważam, że art. 77 ust. 1 i art. 79 ust. 1 RODO należy interpretować w ten sposób, że przewidziane w tych przepisach środki ochrony prawnej mogą być stosowane równolegle, przy czym, na podstawie rzeczonego rozporządzenia, żaden z nich nie ma pierwszeństwa przed drugim.
8. Chciałbym uzupełnić tę odpowiedź wskazaniem, że wobec braku przepisów Unii dotyczących powiązania środków ochrony prawnej przewidzianych w art. 77–79 RODO do państw członkowskich – zgodnie z zasadą autonomii proceduralnej i ze względu zarówno na cel zagwarantowania wysokiego i spójnego poziomu ochrony praw przyznanych w tym rozporządzeniu, jak i prawo do skutecznego środka prawnego przed sądem ustanowione w art. 47 karty – należy wprowadzenie na poziomie krajowym mechanizmów powiązania wspomnianych środków ochrony prawnej niezbędnych w celu uniknięcia ewentualnego sprzecznych decyzji w przedmiocie tego samego przetwarzania danych osobowych w tym samym państwie członkowskim.
II. Ramy prawne
A. RODO
9. Artykuł 51 ust. 1 RODO stanowi:
„Każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii (zwany dalej »organem nadzorczym«)”.
10. Zgodnie z art. 52 ust. 1 RODO:
„Każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszym rozporządzeniem działa w sposób w pełni niezależny”.
11. Artykuł 58 ust. 4 RODO stanowi:
„Wykonywanie uprawnień powierzonych organowi nadzorczemu na mocy niniejszego artykułu podlega odpowiednim zabezpieczeniom – w tym prawu do skutecznego środka ochrony prawnej przed sądem i rzetelnego procesu, określonym w prawie Unii i prawie państwa członkowskiego zgodnie z Kartą praw podstawowych”.
12. Artykuł 77 RODO, zatytułowany „Prawo do wniesienia skargi do organu nadzorczego”, sformułowany jest w sposób następujący:
„1. Bez uszczerbku dla innych [środków] administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
2. Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej na mocy art. 78”.
13. Artykuł 78 RODO jest zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemu”. Na mocy ust. 1 wspomnianego artykułu:
„Bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej każda osoba fizyczna lub prawna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej”.
14. Artykuł 79 RODO jest zatytułowany „Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”. Ustęp 1 wspomnianego artykułu ma brzmienie następujące:
„Bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego [jej] danych osobowych z naruszeniem niniejszego rozporządzenia”.
B. Prawo węgierskie
15. Artykuł 22 információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (ustawy nr CXII z 2011 r. o prawie do samodzielnego decydowania o wykorzystaniu informacji i wolności informacji, zwanej dalej „ustawą o informacji”)(4) z dnia 26 lipca 2011 r. stanowi:
„W wykonywaniu swoich praw osoba, której dane dotyczą, może zgodnie z postanowieniami rozdziału VI:
a) wnosić do [organu nadzorczego] o wszczęcie postępowania w przedmiocie zgodności z prawem środka zastosowanego przez administratora, w przypadku gdy ograniczył on wykonywanie praw osoby, której dane dotyczą, określonych w art. 14 lub oddalił wniosek osoby, której dane dotyczą, za pośrednictwem którego zamierzała ona wykonywać swoje prawa; a także
b) wnosić do [organu nadzorczego] o przeprowadzenie postępowania administracyjnego w zakresie ochrony danych, w przypadku gdy osoba, której dane dotyczą, uzna, że w trakcie przetwarzania jej danych osobowych administrator lub, w stosownych przypadkach, jego przedstawiciel lub podmiot przetwarzający dane działający na jego polecenie naruszył zasady w zakresie przetwarzania danych osobowych określone w przepisach lub wiążącym akcie prawnym Unii […]”.
16. Artykuł 23 ustawy o informacji stanowi:
„(1) Osoba, której dane dotyczą, może skorzystać ze środka ochrony prawnej przed sądem przeciwko administratorowi lub przeciwko podmiotowi przetwarzającemu – w związku z operacjami przetwarzania wchodzącymi w zakres czynności tego ostatniego – w przypadku gdy uzna, że administrator lub, w stosownych przypadkach, jego przedstawiciel lub podmiot przetwarzający dane działający na jego polecenie przetwarzający jej dane osobowe naruszył zasady w zakresie przetwarzania danych osobowych określone w przepisach lub wiążącym akcie prawnym Unii […].
[…]
(4) Stroną w postępowaniu sądowym mogą być również osoby nieposiadające zdolności sądowej. [Organ nadzorczy] może przystąpić do postępowania w charakterze interwenienta popierając roszczenia osoby, której dane dotyczą.
(5) W razie uwzględnienia roszczenia sąd stwierdza istnienie naruszenia i nakazuje administratorowi lub, w stosownych przypadkach, podmiotowi przetwarzającemu:
a) zaprzestanie niezgodnych z prawem operacji przetwarzania;
b) przywrócenie zgodności z prawem przetwarzania danych; lub
c) podjęcie dokładnie określonego zachowania w celu zapewnienia wykonywania praw osoby, której dane dotyczą,
i, w stosownych przypadkach, rozstrzyga jednocześnie w przedmiocie roszczeń o odszkodowanie i zadośćuczynienie”.
III. Okoliczności sporu w postępowaniu głównym i pytania prejudycjalne
17. BE, po wzięciu udziału w dniu 26 kwietnia 2019 r. w walnym zgromadzeniu akcjonariuszy spółki akcyjnej, której jest akcjonariuszem, zwrócił się o dostarczenie mu fonogramu, który został nagrany podczas tego zgromadzenia.
18. Spółka akcyjna będąca administratorem wspomnianych danych udostępniła BE jedynie fragmenty zawierające jego wystąpienia, ale z wyłączeniem wystąpień innych uczestników.
19. BE, zmierzający do uzyskania dostępu do fragmentów zawierających odpowiedzi uczestników na jego pytania zadane w trakcie walnego zgromadzenia z dnia 26 kwietnia 2019 r., wniósł skargę do organu nadzorczego, domagając się stwierdzenia, że spółka akcyjna działała bezprawnie, jak również zobowiązania rzeczonej spółki do dostarczenia wspomnianych fragmentów. Organ nadzorczy oddalił wspomnianą skargę decyzją z dnia 29 listopada 2019 r.
20. W związku z oddaleniem skargi przez organ nadzorczy BE wniósł skargę na wspomnianą decyzję do sądu odsyłającego na podstawie art. 78 ust. 1 RODO, wnosząc, tytułem żądania głównego, o zmianę tej decyzji, a tytułem ewentualnym – o jej uchylenie.
21. Równolegle z wniesieniem skargi do organu nadzorczego BE wystąpił przeciwko administratorowi z pozwem do sądu cywilnego na podstawie art. 79 ust. 1 RODO.
22. Podczas gdy skarga nadal była rozpatrywana przez sąd odsyłający, Fövárosi Ítélötábla (regionalny sąd apelacyjny dla miasta stołecznego Budapeszt, Węgry) uznał powództwo BE wniesione na podstawie wspomnianego przepisu za zasadne i orzekł, że administrator naruszył prawo dostępu BE do jego danych osobowych, ponieważ nie zostały mu udostępnione, pomimo złożonego w tym zakresie wniosku, fragmenty fonogramu zawierające odpowiedzi na jego pytania(5). Wspomniany wyrok wydany przez sąd cywilny drugiej instancji jest prawomocny.
23. W skardze do sądu odsyłającego BE wnosi o uwzględnienie rozstrzygnięcia zawartego w wyroku sądu cywilnego.
24. Sąd odsyłający rozważa, czy z prawa Unii można wyciągnąć wnioski dotyczące powiązania, odpowiednio, pomiędzy kompetencjami organu nadzorczego, do którego skierowano skargę na podstawie art. 77 ust. 1 rozporządzenia RODO, i sądu administracyjnego, który jest właściwy na podstawie art. 78 ust. 1 wspomnianego rozporządzenia do kontroli zgodności z prawem decyzji wydanych przez rzeczony organ – z jednej strony – oraz sądu cywilnego, który jest właściwy na podstawie art. 79 ust. 1 tego rozporządzenia do orzekania w przedmiocie powództwa wniesionego przez osobę, która uważa, że jej prawa wynikające z tego rozporządzenia zostały naruszone – z drugiej strony.
25. Sąd odsyłający zauważa bowiem, że równoległe korzystanie ze środków ochrony prawnej przewidzianych w tych przepisach może prowadzić do przyjęcia sprzecznych rozstrzygnięć dotyczących tych samych okoliczności faktycznych.
26. Taka sytuacja, zdaniem wspomnianego sądu, stwarzałaby ryzyko powstania niepewności prawa. Sąd odsyłający zauważa w tym względzie, że zgodnie z krajowymi przepisami proceduralnymi decyzja organu nadzorczego nie jest wiążąca dla sądu cywilnego. Nie można zatem wykluczyć, że w tych samych okolicznościach faktycznych sąd cywilny może wydać orzeczenie sprzeczne z decyzją organu nadzorczego.
27. Sąd odsyłający wskazuje, że w niniejszym wypadku, zgodnie z krajowymi przepisami proceduralnymi, nie zostały spełnione warunki udziału organu nadzorczego w charakterze interwenienta przed sądem cywilnym. Ponadto, zgodnie z tymi przepisami, wyrok sądu cywilnego nie wiąże sądu administracyjnego w ramach kontroli legalności decyzji organu nadzorczego, którą powinien on przeprowadzić zgodnie z art. 78 ust. 1 RODO.
28. W zakresie, w jakim rozstrzygnięcia organu nadzorczego i sądu cywilnego orzekającego w ostatniej instancji są rozbieżne w przedmiocie istnienia naruszenia przepisów dotyczących ochrony danych osobowych, sąd odsyłający dąży do ustalenia, czy przepisy prawa Unii pozwalają na określenie powiązania między środkami ochrony prawnej, które są wykorzystywane równolegle. Tytułem porównania sąd ten przywołuje przepisy obowiązujące w dziedzinie prawa konkurencji(6).
29. Wspomniany sąd podnosi również, że w przeciwieństwie do stanu faktycznego, który stał się przyczynkiem do wydania wyroku z dnia 27 września 2017 r., Puškár(7), ustawodawstwo węgierskie nie uzależnia możliwości wystąpienia do sądu od uprzedniego wyczerpania środków dostępnych na gruncie postępowania administracyjnego.
30. Jednakże, zdaniem sądu odsyłającego, prawo do skutecznego środka ochrony prawnej, jak również cel polegający na zagwarantowaniu wysokiego poziomu ochrony praw przyznanych przez RODO skutkują koniecznością zapewnienia spójności w stosowaniu wspomnianego rozporządzenia. W celu osiągnięcia tego rezultatu konieczne jest określenie pierwszeństwa między rodzajami środków ochrony prawnej, z których możliwe jest równoległe korzystanie.
31. W tym zakresie sąd odsyłający wskazuje, że zgadza się ze stanowiskiem organu nadzorczego w zakresie, w jakim organ ten podnosi, że uprawnienie przyznane w art. 51 ust. 1 RODO, jak i zadania i uprawnienia przewidziane w art. 57 ust. 1 lit. a) i f) oraz w art. 58 ust. 2 lit. b) i c) wspomnianego rozporządzenia przyznają organowi nadzorczemu pierwszeństwo w zakresie prowadzenia postępowań i monitorowania przestrzegania obowiązków wynikających z rozporządzenia. W konsekwencji sąd odsyłający proponuje, by Trybunał potwierdził wykładnię, zgodnie z którą w przypadku gdy w odniesieniu do tego samego naruszenia postępowanie toczy się przed organem nadzorczym lub zostało przed nim zamknięte, to decyzja tego organu w tej sprawie, a także rozstrzygnięcie sprawującego nad nim kontrolę sądu administracyjnego, posiadają pierwszeństwo w ustaleniu zaistnienia naruszenia przepisów RODO. W rezultacie ustalenia sądów cywilnych zapadłe na podstawie art. 79 RODO nie byłyby wiążące w postępowaniach prowadzonych na podstawie art. 77 i 78 wspomnianego rozporządzenia.
32. Jeśli z kolei pierwszeństwo kompetencji do stwierdzenia naruszenia praw wynikających z RODO nie zostanie przyznane organowi nadzorczemu, sąd odsyłający uważa, że przestrzegając zasady pewności prawa, będzie musiał uznać za wiążące rozstrzygnięcie sądu cywilnego zawarte w prawomocnym wyroku i nie będzie mógł dokonać własnej oceny zgodności z prawem ustaleń organu nadzorczego poczynionych w jego decyzji w zakresie istnienia wspomnianego naruszenia. Sąd odsyłający uważa, że oznaczałoby to pozbawienie treści kompetencji przyznanej w art. 78 wspomnianego rozporządzenia.
33. W związku z powyższym Fővárosi Törvényszék (sąd dla miasta stołecznego Budapeszt) postanowił zawiesić postępowanie i przedstawić Trybunałowi następujące pytania prejudycjalne:
„1) Czy [art. 77 ust. 1 i art. 79 ust. 1 RODO] należy interpretować w ten sposób, że administracyjny środek ochrony prawnej określony w art. 77 stanowi instrument wykonywania praw publicznych, natomiast środek ochrony prawnej przed sądem określony w art. 79 stanowi instrument wykonywania praw prywatnych? Czy wynika z tego, w przypadku udzielenia odpowiedzi twierdzącej, że organ nadzorczy właściwy do rozpoznawania administracyjnych środków ochrony prawnej ma pierwszeństwo w ustaleniu istnienia naruszenia?
2) Czy w przypadku gdy osoba, której dotyczą dane osobowe, których przetwarzanie jej zdaniem naruszyło [RODO], korzysta jednocześnie z prawa do wniesienia skargi zgodnie z art. 77 ust. 1 tego rozporządzenia i z prawa do środka ochrony prawnej przed sądem zgodnie z art. 79 ust. 1 tego samego rozporządzenia, należy uznać, że z wykładni zgodnej z art. 47 [karty] wynika, że:
a) organ nadzorczy i sąd, przed którym sprawa zawisła, są zobowiązane do odrębnego zbadania istnienia naruszenia, a w konsekwencji mogą nawet dojść do rozbieżnych ustaleń, czy też
b) decyzji organu nadzorczego przysługuje pierwszeństwo w zakresie ustalenia popełnienia naruszenia ze względu na uprawnienia przewidziane w art. 51 ust. 1 rozporządzenia 2016/679 i uprawnienia ustanowione art. 58 ust. 2 lit. b) i d) [RODO]?
3) Czy niezależność organu nadzoru ustanowioną w art. 51 ust. 1 i art. 52 ust. 1 [RODO] należy rozumieć w ten sposób, że organ ten, rozpatrując skargę na podstawie art. 77 [tego rozporządzenia] i wydając w tym zakresie decyzję, nie jest związany rozstrzygnięciem prawomocnego wyroku wydanego na podstawie art. 79 przez właściwy sąd, tak że może nawet wydać odmienną decyzję w przedmiocie tego samego domniemanego naruszenia?”.
34. Uwagi na piśmie złożyli BE, organ nadzorczy, rządy węgierski, czeski, włoski i polski oraz Komisja Europejska. Rozprawa odbyła się w dniu 11 maja 2022 r., z udziałem organu nadzorczego, rządów węgierskiego i polskiego oraz Komisji.
IV. Analiza
35. Tytułem wstępu trzeba przypomnieć, że zgodnie z utrwalonym orzecznictwem w ramach ustanowionej w art. 267 TFUE procedury współpracy między sądami krajowymi a Trybunałem do Trybunału należy udzielenie sądowi odsyłającemu użytecznej odpowiedzi, która umożliwi mu rozstrzygnięcie zawisłego przed nim sporu, i z tego też względu Trybunał musi w razie potrzeby przeformułować przedłożone mu pytania(8).
36. Ponadto należy przypomnieć, że zgodnie z utrwalonym orzecznictwem Trybunału okoliczność, iż sąd odsyłający zadał pytanie, powołując się jedynie na określone przepisy prawa Unii, nie stoi na przeszkodzie temu, by Trybunał przekazał temu sądowi wszelkie elementy wykładni, jakie mogą być pomocne w rozstrzygnięciu rozpatrywanej przez niego sprawy, niezależnie od tego, czy sąd ten powołał się na nie w treści pytań. W tym względzie do Trybunału należy wyprowadzenie z całości informacji przedstawionych mu przez sąd krajowy, a w szczególności z uzasadnienia postanowienia odsyłającego, tych aspektów prawa Unii, które wymagają wykładni w świetle przedmiotu sporu(9).
37. Należy zwrócić uwagę, że sąd odsyłający rozpoznaje obecnie skargę ma decyzję organu nadzorczego oddalającą skargę BE, a zatem chodzi o środek ochrony prawnej, o którym mowa w art. 78 ust. 1 RODO.
38. W celu wydania orzeczenia w przedmiocie wspomnianej skargi sąd ten zmierza do uzyskania od Trybunału wyjaśnień dotyczących powiązania między z jednej strony skargą wniesioną do organu nadzorczego na podstawie art. 77 ust. 1 tego rozporządzenia, a z drugiej strony środkami ochrony prawnej określonymi w art. 78 ust. 1 i art. 79 ust. 1 wspomnianego rozporządzenia.
39. Konkretnie na etapie postępowania krajowego sąd odsyłający zmierza do ustalenia, jaki zakres uznania przysługuje mu w ramach kontroli zgodności z prawem decyzji organu nadzorczego, którą to kontrolę przeprowadza na podstawie art. 78 ust. 1 RODO, ze względu na fakt, że sąd cywilny, do którego wniesiono powództwo na podstawie art. 79 ust. 1 tego rozporządzenia, rozstrzygnął sprawę w sposób przeciwny do rozstrzygnięcia wspomnianego organu po rozpatrzeniu skargi na podstawie art. 77 ust. 1 rzeczonego rozporządzenia.
40. W tych okolicznościach należy moim zdaniem uznać, że poprzez swoje pytania sąd odsyłający zmierza w istocie do uzyskania wyjaśnienia Trybunału w kwestii tego, czy art. 78 ust. 1 RODO należy interpretować w ten sposób, że w przypadku korzystania przez osobę, której dane dotyczą, ze środków ochrony prawnej określonych w art. 77 ust. 1 i art. 79 ust. 1 wspomnianego rozporządzenia sąd orzekający w przedmiocie skargi od decyzji organu nadzorczego jest związany rozstrzygnięciem sądu orzekającego na podstawie tego ostatniego przepisu w kwestii zaistnienia naruszenia praw, które przysługują wspomnianej osobie na podstawie rzeczonego rozporządzenia.
41. Z postanowienia odsyłającego wynika, że z punktu widzenia sądu odsyłającego odpowiedź na to pytanie wiąże się z ustaleniem, czy w ramach kontroli zgodności z prawem decyzji organu nadzorczego, którą ma on przeprowadzić, sąd ten powinien uwzględnić, w przypadku równoległego skorzystania ze środków ochrony prawnej przewidzianych w art. 77 ust. 1 i art. 79 ust. 1 RODO, ewentualne pierwszeństwo, jakie pierwszy środek ochrony prawnej mógłby mieć w stosunku do drugiego w zakresie stwierdzenia naruszenia praw chronionych przez wspomniane rozporządzenie.
42. Aby odpowiedzieć na pytania sądu odsyłającego, należy przypomnieć, że z utrwalonego orzecznictwa wynika, iż aby dokonać interpretacji przepisu prawa Unii, należy uwzględnić jego brzmienie, jak również systematykę i cele regulacji, której jest on częścią(10).
43. W odniesieniu do brzmienia art. 77–79 RODO należy zwrócić uwagę, że z jednej strony prawo do wniesienia skargi pozostaje „bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem”, a z drugiej strony – że prawo do wniesienia skargi od decyzji organu nadzorczego lub administratora pozostaje „bez uszczerbku dla innych administracyjnych lub pozasądowych środków ochrony prawnej”.
44. Z brzmienia wspomnianych przepisów wynika zatem, że przewidziane w nich środki ochrony prawnej mogą być stosowane równolegle. Ponadto ustawodawca unijny nie ustanowił w tych przepisach żadnej zasady dotyczącej powiązania między wspomnianymi środkami ochrony prawnej. Nie można zatem moim zdaniem wywodzić z RODO istnienia pierwszeństwa skorzystania z jednego środka ochrony prawnej przed innymi w celu uzyskania rozstrzygnięcia, że doszło do naruszenia praw chronionych przez wspomniane rozporządzenie.
45. W szczególności o ile prawdą jest, jak wynika z art. 51 ust. 1 RODO, że organy nadzorcze są odpowiedzialne za monitorowanie stosowania wspomnianego rozporządzenia, w szczególności w celu ochrony podstawowych praw osób fizycznych w związku z przetwarzaniem ich danych osobowych, o tyle żaden przepis wspomnianego rozporządzenia nie wskazuje na to, aby wspomniane organy nadzorcze miały pierwszeństwo w zakresie kompetencji do stwierdzania naruszenia tych praw przed sądem.
46. Prawodawca unijny zmierzał w ten sposób do ustanowienia dla osób, których dane dotyczą, pełnego systemu środków ochrony prawnej, w ramach którego prawo do środka ochrony prawnej i możliwość skorzystania ze środka administracyjnego lub pozasądowego współistnieją autonomicznie i nie są one od siebie zależne. Wspomniane osoby mogą zatem poszukiwać ochrony prawnej w drodze złożenia w szczególności skargi do organu nadzorczego, a następnie, w razie potrzeby, zaskarżenia decyzji podjętej przez wspomniany organ do sądu, lub poprzez bezpośrednie wniesienie powództwa do sądu przeciwko administratorowi lub podmiotowi przetwarzającemu. O ile organ nadzorczy i sąd (sądy), do którego (których) sprawa została wniesiona, mogą dojść do różnych ocen prawnych w zakresie ustalenia, czy doszło do naruszenia zasad określonych w RODO, to należy zauważyć, że prawodawca unijny nie wprowadził mechanizmów ograniczających wspomniane ryzyko, ponieważ nie określił sposobów powiązania środków ochrony prawnej przewidzianych w art. 77–79 niniejszego rozporządzenia.
47. W tym względzie z systematyki wspomnianego rozporządzenia wynika, że o ile prawodawca Unii zmierzał do ustanowienia przepisów dotyczących powiązania skarg wnoszonych do organów nadzorczych działających w różnych państwach członkowskich z jednej strony z odwołaniami wnoszonymi do sądów w różnych państwach członkowskich z drugiej strony, o tyle nie zmierzał on do ustanowienia wspomnianych przepisów w odniesieniu do korzystania ze środków ochrony prawnej w ramach jednego państwa członkowskiego.
48. Należy w tym zakresie podnieść, że RODO ustala w rozdziale VII, zatytułowanym „Współpraca i spójność”, mechanizmy wzajemnej pomocy pomiędzy organami nadzorczymi różnych państw członkowskich, mające na celu zapewnienie spójności decyzji podejmowanych przez wspomniane organy. Ponadto art. 81 ust. 2 wspomnianego rozporządzenia, zatytułowany „Zawieszenie postępowania”, stanowi, że „[j]eżeli przed sądem w innym państwie członkowskim toczy się postępowanie w tej samej sprawie w odniesieniu do przetwarzania przez tego samego administratora lub ten sam podmiot przetwarzający, właściwy sąd inny niż sąd, przed którym jako pierwszym wszczęto postępowanie, może zawiesić swoje postępowanie”. Ponadto, zgodnie z art. 81 ust. 3 wspomnianego rozporządzenia, „[j]eżeli postępowania te toczą się w pierwszej instancji, sąd inny niż sąd, przed którym jako pierwszym wszczęto postępowanie, może także – na wniosek jednej ze stron – stwierdzić brak swojej jurysdykcji, jeżeli sąd, przed którym jako pierwszym wszczęto postępowanie, ma jurysdykcję względem przedmiotowych spraw, a jego prawo dopuszcza ich połączenie”.
49. Należy zauważyć, że taka możliwość zawieszenia lub stwierdzenia braku właściwości nie jest zapewniona, w przypadku gdy skarga do organu nadzorczego i sądowe środki ochrony prawnej są wnoszone w tym samym państwie członkowskim w odniesieniu do tego samego przetwarzania danych osobowych.
50. Z okoliczności tych wynika, że sąd krajowy w ramach kontroli zgodności z prawem decyzji podjętej przez organ nadzorczy, którą przeprowadza on na podstawie art. 78 ust. 1 RODO, nie jest zobowiązany na podstawie tego rozporządzenia do uznania ani pierwszeństwa w zakresie kompetencji tego organu lub sądu, rozpoznającego sprawę na podstawie art. 79 ust. 1 tego rozporządzenia, ani pierwszeństwa oceny dokonanej przez wspomniany organ lub sąd co do istnienia naruszenia praw zagwarantowanych w tym rozporządzeniu.
51. Przeciwne rozwiązanie byłoby moim zdaniem sprzeczne z prawem do skutecznego środka ochrony prawnej przed sądem, które powinno przysługiwać osobie zaskarżającej decyzję wydaną przez organ nadzorczy.
52. Jak bowiem wynika z brzmienia art. 78 ust. 1 RODO, wspomniany przepis przyznaje każdej osobie fizycznej lub prawnej „prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej”. Wspomniany przepis jest oparty na art. 58 ust. 4 rzeczonego rozporządzenia, z którego wynika, że wykonywanie uprawnień powierzonych organowi nadzorczemu na mocy niniejszego artykułu podlega odpowiednim zabezpieczeniom – w tym prawu do skutecznego środka ochrony prawnej przed sądem(11). Zgodnie z wcześniejszym wyrokiem Trybunału art. 47 karty znajduje w szczególności swoje odzwierciedlenie w dziedzinie ochrony danych osobowych w przyznanym w art. 78 ust. 1 RODO uprawnieniu każdej osoby fizycznej lub prawnej do wniesienia skutecznego środka zaskarżenia w postępowaniu sądowym od prawnie wiążącej decyzji organu nadzorczego, która tej osoby dotyczy(12).
53. Wspomniane prawo do skutecznego środka ochrony prawnej oznacza, że sądy rozpoznające skargi od decyzji organu nadzorczego, na podstawie art. 78 ust. 1 RODO, jak stwierdzono w motywie 143 tego rozporządzenia, „powinny wykonywać pełną jurysdykcję w sprawie, w tym w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy”. W rezultacie, moim zdaniem, wspomniany sąd powinien mieć swobodę dokonania oceny zgodności z prawem decyzji poddanej jego kontroli, a w związku z tym nie może być związany oceną dokonaną wcześniej przez sąd orzekający na podstawie art. 79 ust. 1 RODO w zakresie ustalenia, czy doszło do naruszenia norm ustanowionych we wspomnianym rozporządzeniu.
54. Z kolei o ile sądowi rozpoznającemu sprawę na podstawie art. 78 ust. 1 RODO w ramach kontroli zgodności z prawem decyzji wydanej przez organ nadzorczy powinna przysługiwać pełna swoboda oceny w celu stwierdzenia, czy doszło do naruszenia zasad wynikających ze wspomnianego rozporządzenia, to nie jest tak, moim zdaniem, ze względu na podnoszone pierwszeństwo organu nadzorczego, a następnie, w danym przypadku, wspomnianego sądu, co do dokonania tego ustalenia, ale raczej ze względu na prawo do skutecznego środka prawnego przed sądem, ustanowione w art. 47 karty, z którego wynika, że wspomniany sąd jest uprawniony do swobodnej i niezależnej kontroli decyzji wydanej przez ów organ.
55. Jeśli chodzi o cele realizowane przez RODO, to należy zwrócić uwagę, że wybór prawodawcy unijnego, aby umożliwić osobom, których dane dotyczą, równoległe korzystanie ze środków ochrony prawnej określonych w art. 77–79 tego rozporządzenia, jest zgodny z celem wspomnianego rozporządzenia, którym jest zagwarantowanie wysokiego poziomu ochrony praw przyznanych na podstawie tego rozporządzenia.
56. W tym zakresie, jak wynika z art. 1 ust. 2 RODO w związku z motywami 10, 11 i 13 tego rozporządzenia, nakłada ono na instytucje, organy i jednostki organizacyjne Unii oraz na właściwe organy państw członkowskich obowiązek zapewnienia wysokiego poziomu ochrony praw zagwarantowanych w art. 16 TFUE i art. 8 karty(13).
57. Należy jednak zaznaczyć, że – jak obrazuje to niniejsza sprawa – ustanowienie w RODO możliwości wniesienia równoległych powództw w przedmiocie tego samego przetwarzania danych osobowych może mieć pewną wadę, a mianowicie brak pewności prawa, który może zostać spowodowany pojawieniem się w danym państwie członkowskim sprzecznych decyzji. Jednakże, jak już wspomniałem, choć ryzyko sprzecznych decyzji występujące między organami nadzoru lub sądami różnych państw członkowskich zostało uwzględnione przez prawodawcę unijnego w tym rozporządzeniu, to nie dotyczy to sytuacji, gdy wspomniane decyzje są podejmowane w tym samym państwie członkowskim.
58. W tych okolicznościach każde państwo członkowskie jest odpowiedzialne za wdrożenie mechanizmów proceduralnych mających na celu uniknięcie, w miarę możliwości, podejmowania sprzecznych decyzji w odniesieniu do tego samego przetwarzania danych osobowych.
59. Przypominam w tym zakresie, że w braku uregulowania Unii w tej dziedzinie to do wewnętrznego porządku prawnego każdego państwa członkowskiego należy, na mocy zasady autonomii proceduralnej, uregulowanie szczegółowych zasad proceduralnych dotyczących tych środków prawnych przewidzianych w art. 77–79 RODO, pod warunkiem jednak, by zasady te nie były mniej korzystne w odniesieniu do sytuacji objętych prawem Unii niż w odniesieniu do podobnych sytuacji podlegających prawu krajowemu (zasada równoważności) oraz by w praktyce nie uniemożliwiały lub nie czyniły nadmiernie uciążliwym wykonywania uprawnień przyznanych przez prawo Unii (zasada skuteczności)(14).
60. W tym kontekście i zgodnie z utrwalonym orzecznictwem sądy państw członkowskich, zgodnie z wyrażoną w art. 4 ust. 3 TUE zasadą lojalnej współpracy, mają obowiązek zapewnienia ochrony sądowej wynikających z prawa Unii uprawnień podmiotów prawa, a art. 19 ust. 1 TUE zobowiązuje ponadto państwa członkowskie do ustanowienia środków niezbędnych dla zapewnienia skutecznej ochrony prawnej w dziedzinach objętych prawem Unii(15).
61. W związku z tym, gdy określają one zasady proceduralne regulujące sądowe postępowania odwoławcze mające na celu ochronę praw przyznanych przez RODO, państwa członkowskie muszą zapewnić poszanowanie prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu, ustanowionego art. 47 karty, który stanowi potwierdzenie zasady skutecznej ochrony sądowej(16).
62. Cechy środka ochrony prawnej określonego we wspomnianym rozporządzeniu należy zatem określić zgodnie z art. 47 karty.
63. Z kolei skuteczna ochrona sądowa nie polega jednak moim zdaniem jedynie na zapewnieniu osobom, których dane dotyczą, niezbędnych środków ochrony prawnej w celu ochrony ich praw wynikających z RODO. W przypadku współistnienia kilku środków ochrony prawnej, które mogą być stosowane równolegle, należy również zagwarantować pewność prawną uzyskanej ochrony sądowej. W zakresie, w jakim sprzeczne decyzje odnośnie do zaistnienia naruszenia przepisów określonych we wspomnianym rozporządzeniu nie zapewniałyby skutecznej ochrony sądowej osób, których dane dotyczą, państwa członkowskie powinny wprowadzić środki niezbędne do uniknięcia takich sprzecznych decyzji.
64. Jeżeli państwa członkowskie nie wprowadziłyby mechanizmów proceduralnych umożliwiających powiązanie różnych środków ochrony prawnej, cele RODO polegające na zapewnieniu skutecznej ochrony sądowej osobom, których dane dotyczą, oraz wysokiego i spójnego poziomu ochrony praw wynikających z RODO mogłyby nie zostać w pełni osiągnięte.
65. W tym zakresie z motywu 10 RODO wynika, że ma ono na celu zapewnienie spójnego i jednolitego w całej Unii stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych i usunięcie przeszkód w przepływie danych osobowych w jej ramach(17).
66. Otóż wspomniane wymaganie spójnego i jednolitego stosowania zasad wynikających z RODO mogłoby jednak nie zostać zrealizowane, gdyby rozbieżności w poziomach ochrony pomiędzy państwami członkowskimi, które rzeczone rozporządzenie zmierza znieść, mogły być utrzymane w ramach danego państwa członkowskiego. Istnienie wspomnianego wymagania należy pojmować nie tylko na poziomie międzypaństwowym, ale także w odniesieniu do rozstrzygnięć wydawanych w każdym państwie członkowskim.
67. Każde państwo członkowskie jest zatem zobowiązane do zagwarantowania, by istnienie środków ochrony prawnej, które mogą być równolegle stosowane przez osoby, których dane dotyczą, nie zagrażało skuteczności ochrony praw przyznanych im na podstawie RODO. Do państw członkowskich należy wybór, które mechanizmy proceduralne wydają im się najlepiej dostosowane dla umożliwienia powiązania środków ochrony prawnej określonych w art. 77–79 wspomnianego rozporządzenia.
68. Przykładowo państwa członkowskie mogłyby ustalić, że zainteresowane osoby są zobowiązane do wyczerpania środków odwoławczych dostępnych w ramach postępowania administracyjnego zanim wystąpią na drogę postępowania sądowego(18).
69. Państwa członkowskie mogłyby również ustanowić możliwość lub obowiązek zawieszenia przez sąd, do którego wniesiono powództwo na podstawie art. 79 ust. 1 RODO, podczas toczącego się postępowania w sprawie skargi na podstawie art. 77 ust. 1 tego rozporządzenia lub sądowego postępowania odwoławczego na podstawie art. 78 ust. 1 tego rozporządzenia, postępowania toczącego się przed tym pierwszym sądem do czasu rozstrzygnięcia w ramach jednego z tych postępowań.
70. Należy zwrócić uwagę, że Trybunał już orzekł, że prawo dostępu do sądu nie jest prawem bezwzględnym i w związku z tym może obejmować proporcjonalne ograniczenia, które zmierzają do realizacji zgodnego z prawem celu i nie naruszają samej istoty tego prawa(19). Zawieszenie postępowania może w takim przypadku stanowić rozwiązanie mające na celu uniknięcie wydania sprzecznych decyzji mogących naruszyć pewność prawa(20).
V. Wnioski
71. Mając na uwadze powyższe rozważania, proponuję Trybunałowi, aby udzielił Fővárosi Törvényszék (sądowi dla miasta stołecznego Budapeszt, Węgry) następującej odpowiedzi:
1) Artykuł 78 ust. 1 rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) w związku z art. 47 Karty praw podstawowych Unii Europejskiej
należy interpretować w ten sposób, że:
w przypadku skorzystania przez osobę, której dane dotyczą, ze środków ochrony prawnej określonych w art. 77 ust. 1 i art. 79 ust. 1 wspomnianego rozporządzenia sąd, który orzeka w przedmiocie skargi wniesionej przeciwko decyzji organu nadzorczego, nie jest związany orzeczeniem wydanym przez sąd rozpoznający sprawę na podstawie tego drugiego przepisu w zakresie ustalenia, czy doszło do naruszenia praw przyznanych tej osobie na podstawie wspomnianego rozporządzenia.
2) Artykuł 77 ust. 1 i art. 79 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
środki ochrony prawnej, które przepisy te przewidują, mogą być wykonywane równolegle, a żaden z nich nie ma pierwszeństwa w stosunku do drugiego na podstawie wspomnianego rozporządzenia.
3) Wobec braku przepisów Unii dotyczących powiązania pomiędzy środkami ochrony prawnej przewidzianymi w art. 77–79 rozporządzenia 2016/679 do państw członkowskich należy, w świetle zasady autonomii proceduralnej i ze względu na cel zagwarantowania wysokiego i spójnego poziomu ochrony praw ustanowionych w tym rozporządzeniu oraz prawo do skutecznego środka ochrony prawnej przed sądem, ustanowionego w art. 47 Karty praw podstawowych, wdrożenie na poziomie krajowym mechanizmów powiązania tych środków ochrony prawnej niezbędnych w celu uniknięcia możliwości zaistnienia sprzecznych rozstrzygnięć w przedmiocie tego samego przetwarzania danych osobowych w ramach danego państwa członkowskiego.