ĢENERĀLADVOKĀTES JULIANAS KOKOTES [JULIANE KOKOTT]
SECINĀJUMI,
sniegti 2017. gada 20. jūlijā (1)
Lieta C‑434/16
Peter Nowak
pret
Data Protection Commissioner
(Supreme Court (Īrija) lūgums sniegt prejudiciālu nolēmumu)
Lūgums sniegt prejudiciālu nolēmumu – Direktīva 95/46/EK – Personas datu apstrāde – Personas datu jēdziens – Piekļuve savam pārbaudes darbam – Eksaminētāja piezīmes
I. Ievads
1. Vai pārbaudes darbs sastāv no personas datiem, kas nozīmē, ka persona, kura kārto pārbaudījumu, tāpēc, iespējams, pamatojoties uz Datu aizsardzības direktīvu (2), var pieprasīt pārbaudījuma rīkotājam piekļuvi savam darbam? Par to ir runa šajā Īrijas Supreme Court [Augstākās tiesas] lūgumā sniegt prejudiciālu nolēmumu. Taču pamatlieta nav tieši par piekļuvi pārbaudes darbam, – tajā ir runa par kādreizējā Īrijas Data Protection Commissioner (Datu aizsardzības uzraudzītājs) atteikšanos izskatīt sūdzību par piekļuves liegšanu.
2. Galvenais jautājums ir par to, vai pārbaudes darbā ietvertā personas, kura kārto pārbaudījumu, argumentācija var būt personas dati. Taču pastarpināti var tikt analizēts arī, vai ir nozīme tam, ka darbs tika veikts rakstveidā, un vai eksaminētāja piezīmes uz darba arī ir personas, kura kārto pārbaudījumu, dati.
3. Lai gan Datu aizsardzības direktīva drīz tiks aizstāta ar šobrīd vēl nepiemērojamo Vispārīgo datu aizsardzības regulu (3), personas datu jēdziens ar to netiks mainīts. Tāpēc šim lūgumam sniegt prejudiciālu nolēmumu ir nozīme arī saistībā ar Savienības datu aizsardzības tiesību piemērošanu nākotnē.
II. Atbilstošās tiesību normas
4. Datu aizsardzības direktīvas 2. panta a) punktā ir definēti vairāki jēdzieni, it īpaši paskaidrojot, kas ir jāsaprot ar personas datiem:
“Šajā direktīvā:
a) “personas dati” ir jebkura informācija attiecībā uz identificētu vai identificējamu fizisku personu (“datu subjektu”); identificējama persona ir tā, kuru var identificēt tieši vai netieši, norādot reģistrācijas numuru vai vienu vai vairākus šai personai raksturīgus fiziskās, fizioloģiskās, garīgās, ekonomiskās, kultūras vai sociālās identitātes faktorus;
b) “personu datu apstrāde” (“apstrāde”) ir jebkura ar personas datiem veikta darbība vai darbību kopums ar vai bez automatizētiem līdzekļiem – kā vākšana, reģistrēšana, organizēšana, uzglabāšana, piemērošana vai pārveidošana, labošana, konsultēšana, izmantošana, atklāšana, pielietojot pārsūtīšanu, izplatīšanu vai darot tos pieejamus citādā veidā, grupēšana vai savienošana, piekļuves noslēgšana, dzēšana vai iznīcināšana;
c) “personu datu kartotēka” (“kartotēka”) ir jebkurš sakārtots personas datu kopums, kurā šie dati ir pieejami saskaņā ar īpašiem kritērijiem – centralizētiem, decentralizētiem vai izkliedētiem, pamatojoties uz funkcionālu vai ģeogrāfisku motivāciju.”
5. Direktīvas piemērošanas joma izriet no tās 3. panta:
“1. Šī direktīva attiecas uz personas datu apstrādi pilnībā vai daļēji ar automatizētiem līdzekļiem un uz personas datu, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, apstrādi, kura netiek veikta ar automatizētiem līdzekļiem.
2. [..]”
6. Datu aizsardzības direktīvas 12. pantā ir reglamentētas piekļuves tiesības:
“Dalībvalstis garantē katram datu subjektam tiesības iegūt no personas datu apstrādātāja:
a) bez ierobežojumiem samērīgos termiņos un bez pārmērīgas vilcināšanās vai tiesu izdevumiem:
– apstiprinājumu, vai uz viņu attiecināmos datus apstrādā vai neapstrādā, un informāciju vismaz attiecībā uz apstrādes nolūkiem, attiecīgo datu kategorijām un saņēmējiem vai saņēmēju kategorijām, kuriem datus atklāj,
– paziņojumu datu subjektam saprotamā formā par apstrādē esošajiem datiem un par jebkuru pieejamu informāciju attiecībā uz datu avotu,
– informāciju par datu, kas uz viņu attiecas, jebkurā automatizētā apstrādē ietverto loģiku vismaz 15. panta 1. punktā norādīto automatizēto lēmumu gadījumā,
b) atkarībā no apstākļiem datu izlabošanu, dzēšanu vai piekļuves noslēgšanu, ja šo datu apstrāde neatbilst šīs direktīvas noteikumiem, īpaši datu nepilnības vai neprecizitātes dēļ, [..].”
7. Preambulas 41. apsvērumā ir izklāstīts piekļuves tiesību mērķis:
“[..] tā kā jebkurai personai jādod iespēja izmantot piekļuves tiesības apstrādāšanā esošiem datiem, kas attiecas uz šo personu, lai konkrēti pārbaudītu šo datu precizitāti un apstrādes likumību; [..].”
8. Datu aizsardzības direktīvas 13. panta 1. punkts ir pamats atbrīvojumiem no konkrētām tiesību normām:
“1. Dalībvalstis var pieņemt tiesību aktus, lai ierobežotu 6. panta 1. punktā, 10. pantā, 11. panta 1. punktā, 12. pantā un 21. pantā paredzēto pienākumu un tiesību jomu, ja šāds ierobežojums ir nepieciešams aizsargpasākums:
a) valsts drošībai;
b) aizsardzībai;
c) sabiedrības drošībai;
d) kriminālsodāmu noziedzīgu nodarījumu vai reglamentētu profesiju ētikas pārkāpumu profilaksei, izziņai, atklāšanai un kriminālvajāšanai;
e) dalībvalsts vai Eiropas Savienības svarīgās ekonomiskās vai finansiālās interesēs, ieskaitot monetāros, budžeta un nodokļu jautājumus;
f) ar oficiālo pilnvaru realizāciju c), d) un e) apakšpunktā minētajos gadījumos pat laiku pa laikam saistītajai uzraudzībai, pārbaudei un reglamentējošām funkcijām;
g) datu subjekta aizsardzībai vai citu personu tiesību un brīvību aizsardzībai.”
III. Fakti un lūgums sniegt prejudiciālu nolēmumu
9. P. Nowak bija Trainee Accountant (grāmatvedības praktikants), un viņš bija veiksmīgi nokārtojis vairākus Institute of Chartered Accountants of Ireland (Īrijas Zvērinātu grāmatvežu institūts, turpmāk tekstā – “CAI”) pārbaudījumus. Tomēr viņš četras reizes neveiksmīgi mēģināja nokārtot pārbaudījumu nozarē Strategic Finance and Management Accounting. Tas bija pārbaudījums, kurā bija atļauts izmantot savus attiecīgos materiālus (“open book exam”).
10. Pēc ceturtā pārbaudījuma nokārtošanas mēģinājuma 2009. gada rudenī P. Nowak vērsās pret iznākumu, taču galu galā 2010. gada maijā viņš nolēma iesniegt lūgumu nodrošināt piekļuvi datiem saskaņā ar Īrijas datu aizsardzības tiesībām un pieprasīja informāciju par visiem CAI saistībā ar viņu reģistrētajiem “personas datiem”.
11. CAI ar 2010. gada 1. jūnija vēstuli pārsūtīja P. Nowak 17 dokumentus, taču atteicās izsniegt viņa pārbaudes darbu ar pamatojumu, ka CAI esot ticis informēts, ka pārbaudes darbs neesot “personas dati” datu aizsardzības tiesību aktu izpratnē.
12. Pēc tam P. Nowak sazinājās ar Office of the Data Protection Commissioner, Īrijas Datu aizsardzības uzraudzītājiestādi, lūdza tai palīdzību un aizstāvēja viedokli, ka viņa darbs ir personas dati. Datu aizsardzības uzraudzītājs 2010. gada jūnijā ar e‑pasta vēstuli informēja P. Nowak tostarp par to, ka “pārbaudes darbi parasti nav uzskatāmi par [datiem, uz kuriem attiecas datu aizsardzība] [..], jo šādi materiāli parasti nav uzskatāmi par personas datiem”.
13. P. Nowak un toreizējā datu aizsardzības uzraudzītāja sarakste turpinājās, līdz P. Nowak 2010. gada 1. jūlijā iesniedza oficiālu sūdzību. Ar 2010. gada 21. jūlija vēstuli datu aizsardzības uzraudzītājs informēja P. Nowak par to, ka tas ir pārbaudījis informāciju un nav konstatējis būtiskus datu aizsardzības tiesību aktu pārkāpumus. Turklāt atbilstoši šai vēstulei materiāli, attiecībā uz kuriem P. Nowak vēlējās izmantot “tiesības ieviest labojumus, nav personas dati, uz kuriem attiecas datu aizsardzības tiesības”. Tāpēc datu aizsardzības uzraudzītājs neturpināja pārbaudīt sūdzību.
14. P. Nowak šo lēmumu pārsūdzēja Īrijas tiesās, un lieta tagad tiek izskatīta Supreme Court. Tā Tiesai uzdod šādus jautājumus:
“1) Vai informācija, kas ir ietverta atbildēs vai kas ir sniegta kā atbildes, kuras eksaminējamā persona sniedz profesionāla pārbaudījuma laikā, var tikt uzskatīta par personas datiem Datu aizsardzības direktīvas izpratnē?
2) Ja atbilde uz pirmo jautājumu ir tāda, ka šāda informācija vai tās daļa var tikt uzskatīta par personas datiem direktīvas izpratnē, kādi faktori ir jāņem vērā, nosakot, vai konkrētajā gadījumā pārbaudes darbs ir uzskatāms par personas datiem, un cik liela nozīme šiem faktoriem ir jāpiešķir?”
15. Tiesvedībā Tiesā rakstveida apsvērumus iesniedza P. Nowak un tagadējais Īrijas datu aizsardzības uzraudzītājs kā lietas dalībnieki pamatlietā, tāpat arī Grieķijas Republika, Īrija, Polijas Republika, Portugāles Republika, Austrijas Republika, Ungārija, Čehijas Republika un Eiropas Komisija. 2017. gada 22. jūnija tiesas sēdē līdz ar P. Nowak un Īrijas datu aizsardzības uzraudzītāju bija pārstāvēta arī Īrija un Eiropas Komisija.
IV. Juridiskais vērtējums
16. Lūguma sniegt prejudiciālu nolēmumu galvenais jautājums ir par to, vai pārbaudes darbi ir uzskatāmi par personas datiem (par to A sadaļā). Papildus daži lietas dalībnieki analizē jautājumu, vai iespējamas eksaminētāju piezīmes ir personas, kura kārto pārbaudījumu, dati (par to B sadaļā). Visbeidzot, it īpaši Komisija izteica viedokli par datu aizsardzības tiesībās paredzēto piekļuves tiesību papildu nosacījumiem (par to C sadaļā).
A. Par pārbaudes darbu
17. Ar abiem jautājumiem, uz kuriem ir jāatbild kopā, Supreme Court vēlas uzzināt, vai rakstisks pārbaudes darbs ietilpst personas datu definīcijā saskaņā ar Datu aizsardzības direktīvas 2. panta a) punkta definīciju. Šī jautājuma priekšvēsture ir tāda, ka P. Nowak, attiecīgās pārbaudes kandidāts, pamatojoties uz datu aizsardzības tiesībās piešķirtajām piekļuves tiesībām, kas ir paredzētas Datu aizsardzības direktīvas 12. pantā, lūdza piekļuvi savam pārbaudes darbam un šajā ziņā bez panākumiem bija iesniedzis sūdzību toreizējam Īrijas datu aizsardzības uzraudzītājam.
1. Par personas datu definīciju
18. Direktīvas piemērojamība ir ļoti plaša, un direktīvā paredzētie personas dati ir ļoti dažādi (4). Atbilstoši 2. panta a) punktam jebkura informācija attiecībā uz identificētu vai identificējamu fizisku personu ir personas dati.
a) Par pārbaudes darbu kvalifikāciju
19. Tagadējā Īrijas datu aizsardzības uzraudzītāja ieskatā pārbaudes darbs, it īpaši, ja ir atļauts izmantot savus attiecīgos materiālus, neietver personas datus. Šim viedoklim parasti, vērtējot atsevišķi pārbaudījuma uzdevumu risinājumu, vajadzētu būt pareizam. Tā kā pārbaudījuma uzdevumi parasti ir formulēti abstrakti vai tajos ir norādīts uz fiktīviem lietas apstākļiem (5), arī atbilžu sniegšanas pamatā nevajadzētu būt informācijai attiecībā uz identificētu vai identificējamu fizisku personu.
20. Lai gan šķiet, ka Supreme Court jautājumi patiešām ir tikai par risinājumu, proti, “informāciju, kas ir ietverta [..], kuras eksaminējamā persona sniedz [..]”, nebūtu lietderīgi neturpināt analīzi.
21. Tas tādēļ, ka pārbaudes darbā, kā pareizi norāda gandrīz visi pārējie lietas dalībnieki, ir ietverta ne tikai informācija par konkrētu uzdevumu risinājumu, bet tas arī sasaista ar pārbaudes darbu personu, kura kārto pārbaudījumu un ir rakstījusi darbu. Darbā ir dokumentēts tas, ka šī persona ir piedalījusies konkrētā pārbaudījumā un kāds ir bijis tās sniegums. Šī snieguma saikne ar personu izpaužas arī faktā, ka personas, kuras kārto pārbaudījumu, svarīgākos pārbaudījuma rezultātus bieži norāda savos dzīves gājumos.
22. Tam, vai darba gadījumā runa ir par paša sagatavotām atbildēm vai konkrētu atbilžu izvēli pēc Multiple Choice metodes, saistībā ar pārbaudes darba atzīšanu par personas datu izpausmi ir tikpat maz nozīmes kā šajā gadījumā dotajai iespējai izmantot konkrētus materiālus (“open book exam”).
23. Attiecīgā snieguma saikne ar personu, kura kārto pārbaudījumu, gan kļūst ciešāka, ja tai atbildes ir jāsniedz pašai. Tas tādēļ, ka patstāvīga risinājuma izstrāde neaprobežojas tikai ar apgūtās informācijas atspoguļojumu, bet gan arī parāda, kā persona, kura kārto pārbaudījumu, domā un strādā.
24. Taču visos gadījumos pārbaudījuma mērķis – piemēram, atšķirībā no reprezentatīvas aptaujas – nav iegūt informāciju, kas nav atkarīga no personas. Tam drīzāk ir jākonstatē un jādokumentē īpašas personas, proti, personas, kura kārto pārbaudījumu, sniegums. Katra pārbaudījuma mērķis ir iegūt ļoti personīgu un individuālu personas, kura kārto pārbaudījumu, sniegumu. Ne jau veltīgi nepamatota citu sniegumu izmantošana pārbaudījumos tiek stingri sodīta kā maldināšanas mēģinājums.
25. Līdz ar to pārbaudes darbs ir informācijas attiecībā uz personu, kura kārto pārbaudījumu, izpausme un šajā ziņā ir personas datu kopums.
26. To, ka šāds secinājums ir pareizs, apstiprina arī fakts, ka personai, kura kārto pārbaudījumu, ir uz tās privātās dzīves neaizskaramību balstīta likumīga interese uz iespēju iebilst pret tai dotā pārbaudes darba apstrādi ārpus pārbaudījuma procedūras. Tas tādēļ, ka personai, kura kārto pārbaudījumu, nav jāsamierinās ar to, ka tās darbs bez tās piekrišanas tiek nodots trešajām personām vai pat tiek publicēts.
27. Pretēji tam, kā norāda Īrijas datu aizsardzības uzraudzītājs, pārbaudes darbā atspoguļotie personas dati nav tikai pārbaudījuma rezultāts, iegūtā atzīme vai arī punktu vērtība, kas tiek piešķirta par atsevišķām pārbaudījuma daļām. Šīs vērtības tikai apkopo sniegumu pārbaudījumā, kas konkrēti ir dokumentēts pašā pārbaudes darbā.
28. Pārbaudes darba atzīšanu par personas datu izpausmi neietekmē tas, ja darbs tiek apzīmēts nevis ar personas, kura kārto pārbaudījumu, vārdu, bet gan ar reģistrācijas numuru vai svītrkodu. Tas tādēļ, ka saskaņā ar Datu aizsardzības direktīvas 2. panta a) punktu, lai konstatētu informāciju attiecībā uz personu, pietiek ar to, ka attiecīgā persona var tikt identificēta vismaz netieši (6). Vismaz, ciktāl persona, kura kārto pārbaudījumu, pieprasa darbu no organizācijas, kas rīko pārbaudījumu, tā viņu var identificēt ar reģistrācijas numura palīdzību.
b) Par rokraksta nozīmi
29. P. Nowak, Polija un Čehijas Republika arī pamatoti aizstāv viedokli, ka rokrakstā sniegtas atbildes ietver papildu informāciju par personu, kura kārto pārbaudījumu, proti, par tās rokrakstu. Tāpēc darbs rokrakstā būtībā ir rakstisks pierādījums, kas, vismaz iespējams, vēlāk varētu tikt izmantots kā netiešs pierādījums, lai pārbaudītu, vai cits teksts tāpat nav rakstīts personas, kura kārto pārbaudījumu, rokrakstā. Tātad tas var sniegt informāciju par darba autora identitāti.
30. Tam, vai šāds rakstisks pierādījums ir piemērots, lai skaidri identificētu autoru, nevar būt nozīmes saistībā ar atzīšanu par personas datiem. Tas tāpēc, ka arī daudzi citi personas dati atsevišķi neļauj skaidri identificēt personu. Tāpēc arī nav jālemj, vai rokraksts ir uzskatāms par biometrisku informāciju.
2. Par piekļuves tiesību mērķi
31. Pretēji Īrijas viedoklim arī Datu aizsardzības direktīvas preambulas 41. apsvērumā norādītais piekļuves tiesību personas datiem mērķis neliecina pret attiecīgu pārbaudes darba kvalificēšanu. Atbilstoši tam jebkurai personai ir jādod iespēja izmantot piekļuves tiesības apstrādāšanā esošiem datiem, kas attiecas uz šo personu, lai konkrēti pārbaudītu šo datu precizitāti un apstrādes likumību. Īrija pauž bažas, ka persona, kura kārto pārbaudījumu, pamatojoties uz minēto un lasot to kopā ar 12. panta b) punktā paredzētajām izlabošanas tiesībām, pieprasīs kļūdaino pārbaudījuma atbilžu izlabošanu.
a) Par personas datu jēdziena teleoloģisku interpretāciju
32. Vispirms ir jāatgādina, ka šajā gadījumā tikai pakārtoti runa ir par piekļuves tiesībām, savukārt galvenā uzmanība ir pievērsta personas datu jēdziena interpretācijai. Kā Komisija pareizi izklāstīja tiesas sēdē, ar šo jēdzienu ir saistītas vairākas citas Datu aizsardzības direktīvā paredzētās prasības. Tā, piemēram, 6. panta 1. punkta a) apakšpunktā ir pieprasīts, lai personas dati tiktu apstrādāti godīgi un likumīgi, un b) apakšpunktā ir paredzēta personas datu saistība ar mērķi.
33. Saistībā ar šo lietu īpaša nozīme ir tam, ka saskaņā ar Pamattiesību hartas 8. panta 3. punktu, LESD 16. panta 2. punktu un Datu aizsardzības direktīvas 28. pantu uzraudzības iestādēm ir pilnīgi neatkarīgi jākontrolē Savienības tiesību normu par fizisko personu aizsardzību saistībā ar personu datu apstrādi ievērošana (7). Šajā sakarā Hartas 8. panta 1. un 3. punktā, kā arī Datu aizsardzības direktīvas 28. panta 4. punktā personām, uz kurām attiecas konkrētie dati, ir garantētas tiesības vērsties valsts uzraudzības iestādēs ar prasību aizsargāt viņu pamattiesības (8).
34. Tāpēc informācijas atzīšana par personas datiem nevar tikt padarīta atkarīga no tā, vai ir spēkā tādas īpašas tiesību normas par piekļuvi šai informācijai, kas, iespējams, varētu tikt izmantotas līdzās piekļuves tiesībām vai to vietā. Arī problēmām saistībā ar izlabošanas tiesībām nevar būt izšķiroša nozīme, nosakot, vai ir konstatējami personas dati. Tas tādēļ, ka, piešķirot šiem faktoriem būtisku nozīmi, no visas Datu aizsardzības direktīvas aizsardzības sistēmas varētu tikt izslēgti konkrēti personas dati, lai gan tā vietā piemērojamajās tiesību normās ir nodrošināta nevis līdzvērtīga, bet gan – labākajā gadījumā – fragmentāra aizsardzība.
b) Par datu izlabošanu
35. Taču, ja galvenā uzmanība tiek pievērsta piekļuves tiesībām un izlabošanas jautājumam, ir jāatzīst, ka šīs tiesības saistībā ar pārbaudes darbu acīmredzami nevar tikt izmantotas, lai pēc piekļūšanas pieprasītu darba satura, t.i., risinājuma, kuru persona, kura kārto pārbaudījumu, ir atspoguļojusi uz papīra, izlabošanu atbilstoši Datu aizsardzības direktīvas 12. panta b) punktam (9). Tas tādēļ, ka personas datu precizitāte un pilnīgums, kā pareizi uzsver Polija, saskaņā ar 6. panta 1. punkta d) apakšpunktu ir jāvērtē, ņemot vērā mērķi, kādam dati ir vākti un tiek apstrādāti. Pārbaudes darba mērķis ir noteikt personas, kura kārto pārbaudījumu, zināšanas un spējas pārbaudījuma brīdī, kas tieši izriet no tās snieguma pārbaudījumā, it īpaši no tajā esošajām kļūdām. Tāpēc kļūdas risinājumā nenozīmē, ka darbā atspoguļotie personas dati nav pareizi.
36. Taču par izlabošanu varētu būt runa, ja izrādītos, ka darbā nepareizi vai nepilnīgi ir dokumentēts attiecīgās personas sniegums pārbaudījumā. Šāds gadījums būtu konstatējams, piemēram, situācijā, kad – kā norāda Grieķija – attiecīgajai personai tiktu iedots citas personas, kura kārto pārbaudījumu, darbs, kas citu starpā varētu tikt pierādīts ar rokraksta palīdzību, vai kad daļa no darba būtu pazudusi.
37. Turklāt nevar tikt izslēgts, ka personai, kura kārto pārbaudījumu, vēlākā brīdī ir likumīga interese, lai personas dati, kas atspoguļojas darbā, saskaņā ar Datu aizsardzības direktīvas 12. panta b) punktu tiktu dzēsti, t.i., lai darbs tiktu iznīcināts. Šāda interese būtu jāpieņem, vēlākais, tad, kad darbs, ņemot vērā termiņu beigas, ir zaudējis jebkādu pierādījuma spēku saistībā ar pārbaudījuma rezultātu pārbaudi. Arī šo dzēšanas tiesību priekšnoteikums ir darba atzīšana par personas datu izpausmi.
38. Visbeidzot, izlabošana un citas tiesības saskaņā ar Datu aizsardzības direktīvas 12. panta b) punktu, proti, piekļuves noslēgšana un dzēšana, nav vienīgais piekļuves tiesību mērķis.
39. Preambulas 41. apsvērumā piekļuves mērķis gan ir aprakstīts tādējādi, ka attiecīgajai personai ir jābūt iespējai konkrēti pārbaudīt šo datu precizitāti un apstrādes likumību. Taču, izmantojot vārdu “konkrēti” lielākajā daļā valodu redakciju (10), likumdevējs jau ir parādījis, ka mērķis ir plašāks. Tas tādēļ, ka neatkarīgi no izlabošanas, dzēšanas vai piekļuves noslēgšanas datu subjektiem parasti ir likumīga interese uzzināt, kādu informāciju par viņu apstrādā atbildīgais subjekts.
40. Ir gan tiesa, ka saistībā ar pārbaudes darbu personas, kas kārto pārbaudījumu, attiecīgā nepieciešamība iegūt informāciju vispirms varētu būt ļoti minimāla. Tas tādēļ, ka tā parasti vēl salīdzinoši labi atcerēsies savu atbilžu saturu un arī pieņems, ka organizācija, kas rīko pārbaudījumu, tās darbu vēl uzglabā.
41. Taču dažus gadus vēlāk atmiņai jau būtu jābūt daudz sliktākai, kas nozīmē, ka iespējamam piekļuves lūgumam atbildīs faktiska informācijas nepieciešamība – lai kādi būtu tās rašanās iemesli. Turklāt, ejot laikam, – it īpaši beidzoties iespējamiem sūdzību iesniegšanas un pārbaudes termiņiem – pieaug nedrošības sajūta par to, vai darbs vēl tiek uzglabāts. Šajā situācijā personai, kura kārto pārbaudījumu, ir jābūt iespējai vismaz uzzināt, vai tās darbs vēl tiek uzglabāts. Arī šo tiesību priekšnoteikums ir tāds, ka tiek atzīta personas, kura kārto pārbaudījumu, personas datu izpausme darbā.
c) Par piekļuves tiesību ļaunprātīgu izmantošanu
42. Papildus ir jāanalizē jautājums par datu aizsardzības tiesībās paredzēto tiesību ļaunprātīgu izmantošanu, jo datu aizsardzības uzraudzītājs P. Nowak sūdzību Īrijā bija atzinis par ļaunprātīgu un Čehijas Republika šajā tiesvedībā viņa lūgumu par piekļuves tiesībām ir atzinusi par ļaunprātīgu. Šķiet, ka šis pārmetums ir saistīts ar to, ka P. Nowak nav izmantojis pārbaudījuma rezultātu pārbaudes procedūru, bet gan norādījis uz datu aizsardzības tiesībās paredzētajām piekļuves tiesībām.
43. Šajā ziņā ir tiesa, ka nav atļauta ļaunprātīga vai negodīga atsaukšanās uz Savienības tiesībām (11).
44. Lai varētu tikt konstatēta ļaunprātīga rīcība, ir jābūt izpildītiem abiem – gan objektīvajam, gan subjektīvajam elementam. Pirmkārt, attiecībā uz objektīvo elementu, lai varētu izdarīt šo konstatējumu, no visu objektīvo apstākļu kopuma ir jāizriet, ka, lai gan Savienības tiesiskajā regulējumā paredzētie nosacījumi formāli ir ievēroti, šā tiesiskā regulējuma mērķis tomēr nav sasniegts. Otrkārt, lai izdarītu šādu konstatējumu, ir nepieciešams subjektīvais elements, proti, no objektīvo elementu kopuma ir jāizriet, ka attiecīgo darbību galvenais mērķis ir nepamatotas priekšrocības iegūšana. Ļaunprātīgas rīcības aizliegumam nav nozīmes, ja attiecīgajām darbībām var būt cits izskaidrojums nekā tikai (nepamatotas) priekšrocības iegūšana (12).
45. Ja pārbaudes darbi atspoguļo personas datus, atbilstoši datu aizsardzības uzraudzītāja un Īrijas argumentācijai Datu aizsardzības direktīvas mērķa neievērošana būtu saskatāma tajā, ka datu aizsardzības tiesībās paredzētās piekļuves tiesības atļautu apiet tiesību normas par pārbaudījuma procedūru un sūdzību par lēmumiem saistībā ar pārbaudījumu.
46. Taču iespējama pārbaudes procedūras un sūdzības par pārbaudījuma rezultātiem apiešana ar datu aizsardzības tiesībās paredzētajām piekļuves tiesībām būtu jānovērš, izmantojot Datu aizsardzības direktīvā paredzētos instrumentus. Šajā ziņā it īpaši ir jānorāda uz 13. pantu, atbilstoši kuram konkrētu tajā minētu interešu aizsardzībai ir atļauts noteikt atbrīvojumus no piekļuves tiesībām.
47. Ja šie iemesli konkrētās situācijās, kā, iespējams, saistībā ar pārbaudījumiem, nepamato atbrīvojumu, ir jāatzīst, ka likumdevējs no pamattiesībām izrietošajām un datu aizsardzības tiesībās paredzētajām prasībām ir piešķīris lielāku nozīmi salīdzinājumā ar citām konkrēti skartajām interesēm.
48. Taču ir jānorāda, ka ar nākotnē spēkā esošo Vispārīgo datu aizsardzības regulu šī pretruna tiks novērsta. Pirmkārt, saskaņā ar regulas 15. panta 4. punktu tiesības saņemt personas datu minēto kopiju nelabvēlīgi neietekmē citu personu tiesības un brīvības. Otrkārt, regulas 23. pantā iemesli, lai ierobežotu datu aizsardzības tiesībās paredzētās garantijas, ir formulēti nedaudz plašāk nekā vēl direktīvas 13. pantā, jo it īpaši citu svarīgu Savienības vai dalībvalsts vispārējo sabiedrības interešu mērķu atbilstoši regulas 23. panta 1. punkta e) apakšpunktam aizsardzība var attaisnot ierobežojumus.
49. Turpretim ar vienkāršu citu tādu valsts tiesību normu eksistēšanu, kurās tāpat ir reglamentēta piekļuve pārbaudes darbiem, vēl nepietiek, lai pieņemtu direktīvas mērķa nesasniegšanu.
50. Taču, pat ja būtu vēlēšanās pieņemt, ka mērķis netiek sasniegts, nevar tikt secināts, kāda būtu nepamatotā priekšrocība, ja persona, kura kārto pārbaudījumu, izmantojot piekļuves tiesības, saņemtu piekļuvi savam darbam. Ļaunprātīga rīcība nevar tikt saskatīta it īpaši apstāklī, ka, izmantojot piekļuves tiesības, tiek iegūta informācija, kurai pretējā gadījumā nevarētu piekļūt. Tas tādēļ, ka, ja jau ir nodrošināta piekļuve informācijai attiecībā uz personu, nebūtu bijis jāievieš datu aizsardzības tiesībās paredzētās piekļuves tiesības. Tieši pretēji – datu aizsardzības tiesībās paredzēto piekļuves tiesību funkcija ir ļaut attiecīgajai personai piekļūt saviem personas datiem – ievērojot Datu aizsardzības direktīvas 13. pantā paredzētos izņēmumus –, ja šai personai nav piekļuves tiesību uz kāda cita pamata.
3. Starpsecinājumi
51. Kopumā ir jākonstatē, ka ar roku rakstīts pārbaudes darbs, kurš var tikt attiecināts uz personu, kura kārto pārbaudījumu, ir personas dati Datu aizsardzības direktīvas 2. panta a) punkta izpratnē.
B. Par iespējamām eksaminētāja piezīmēm uz pārbaudes darba
52. Daži lietas dalībnieki, it īpaši P. Nowak, uzdod jautājumu, vai iespējamas eksaminētāja piezīmes uz pārbaudes darba tāpat ir personas dati attiecībā uz personu, kura kārto pārbaudījumu.
53. Taču, lai pieņemtu lēmumu pamatlietā, uz šo jautājumu atbilde nav jāsniedz, jo tajā nav runa par to, vai iespējamas eksaminētāja piezīmes ir informācija par P. Nowak. Drīzāk tiesvedības pamatā ir jautājums par to, vai toreizējais Īrijas datu aizsardzības uzraudzītājs drīkstēja pamatoti noraidīt P. Nowak sūdzību ar pamatojumu, ka tā pārbaudes darbs jau sākotnēji nav personas dati. Tas, ciktāl eksaminētāja piezīmes tāpat ir jāuzskata par datiem, kas attiecas uz personu, kura kārto pārbaudījumu, būtu jāizlemj nevis Supreme Court, bet gan vispirms – prasības apmierināšanas gadījumā – tagadējam Īrijas datu aizsardzības uzraudzītājam. Tomēr es to analizēšu gadījumam, ja Tiesa tik un tā pievērsīsies šim aspektam.
54. Pretēji tam, kā tas ir pārbaudes darba gadījumā kopumā, saistībā ar eksaminētāja piezīmēm ir grūti iedomāties datu aizsardzības tiesībās paredzētas tiesības uz nepareizu datu izlabošanu, dzēšanu vai piekļuves noslēgšanu. Tas tādēļ, ka, šķiet, ir izslēgts, ka uz darba izdarītas piezīmes patiešām attiecas uz citu darbu vai neatspoguļo eksaminētāja viedokli. Taču tām ir jādokumentē tieši šis viedoklis. Tāpēc Datu aizsardzības direktīvas izpratnē tās nebūtu nepareizas un tās nebūtu jālabo arī tad, ja piezīmēs dokumentētais vērtējums objektīvi nebūtu pamatots.
55. Tāpēc iespējami iebildumi par piezīmēm būtu jāvērtē, iesniedzot sūdzību par darba vērtējumu.
56. Taču varētu pieņemt, ka iepriekš minētās izdzēšanas tiesības saistībā ar darbu attiecas arī uz eksaminētāja piezīmēm.
57. Tomēr piekļuves tiesību saistībā ar eksaminētāja piezīmēm galvenais mērķis būtu informēt personu, kura kārto pārbaudījumu, par konkrētu tās darba daļu vērtējumu.
58. Šajā ziņā šī lieta līdzinās lietai, kurā Tiesa noraidīja piekļuves tiesību attiecināšanu arī uz patvēruma lūguma juridiskās analīzes projektu, jo tādējādi netiktu sasniegti Datu aizsardzības direktīvas mērķi, bet gan tiktu piešķirtas tiesības piekļūt pārvaldes dokumentiem (13). Šajā gadījumā varētu pieņemt, ka piekļuve informācijai par pārbaudes darba vērtējumu vispirms būtu jāsaņem pārbaudījuma procedūrā vai īpašā procedūrā par sūdzību par lēmumiem saistībā ar pārbaudījumu, nevis pamatojoties uz datu aizsardzības tiesībām. Ciktāl pārbaudījuma procedūra nav noteikta Savienības tiesībās, iespējamas tiesības uz informāciju saistībā ar to būtu atkarīgas tikai no valsts tiesībām.
59. Turklāt Tiesa minētajā spriedumā nosprieda, ka šāda juridiskā analīze nav informācija par uzturēšanās atļaujas pieprasītāju, bet gan, visdrīzāk, informācija par kompetentās iestādes veiktu vērtējumu un šo tiesību piemērošanu pieprasījuma iesniedzēja situācijā (14). Arī šis konstatējums sākotnēji varētu tikt attiecināts uz eksaminētāja piezīmēm. Atbilstoši minētajam tās tikai parādītu, kā eksaminētājs vērtē atbildes.
60. Patiesi, nekādā ziņā nav nepieciešams, lai eksaminētājs, labojot darbu, zinātu, kurš ir tā autors. Tieši pretēji, kā pamatlietā, daudzās rakstiskās pārbaudījuma procedūrās tiek piešķirta nozīme tam, ka eksaminētāji, lai novērstu interešu konfliktus vai neobjektivitāti, neuzzina dalībnieku identitāti. Tādējādi to piezīmēm – kā tas, šķiet, ir arī strīda pamatā esošā pārbaudījuma gadījumā – sākotnēji nav saistības ar personu, kura kārto pārbaudījumu.
61. Tomēr šādu piezīmju mērķis ir snieguma pārbaudījumā vērtējums, un tās šajā ziņā netieši attiecas uz personu, kura kārto pārbaudījumu. Organizācija, kas rīko pārbaudījumu, to var arī bez problēmām identificēt un tai nodot eksaminētāja piezīmes, līdzko tā ir saņēmusi atpakaļ darbu no eksaminētāja.
62. Turklāt, kā norāda Austrija, uz darba atrodamās piezīmes parasti – atšķirībā, piemēram, no īsa atzinuma par darbu – ir nesaraujami saistītas ar darbu, jo tās bez darba būtu bez loģiska satura. Taču pats darbs – kā jau izklāstīts – ir personas, kura kārto pārbaudījumu, datu izpausme. Un šie dati tieši tiek savākti un apstrādāti, lai varētu sniegt eksaminētāja piezīmēs atspoguļoto personas, kura kārto pārbaudījumu, snieguma vērtējumu.
63. Jau pamatojoties uz šo ciešo saikni starp pārbaudes darbu un uz tā izdarītajām eksaminētāja piezīmēm, arī minētās piezīmes ir personas, kura kārto pārbaudījumu, dati atbilstoši Datu aizsardzības direktīvas 2. panta a) punktam.
64. Turpretim iespēja apiet pārbaudījuma pārsūdzības procedūru nevar izslēgt datu aizsardzības tiesību piemērošanu. Tas tādēļ, ka apstāklis, ka, iespējams, paralēli ir spēkā citas tiesību normas par piekļuvi konkrētai informācijai, nevar padarīt par nepiemērojamām datu aizsardzības tiesības. Šķiet, ka ir pilnīgi pieņemams datu subjektiem norādīt uz paralēli spēkā esošām piekļuves tiesībām, ciktāl tās var tikt faktiski izmantotas.
65. Pilnības labad ir jānorāda, ka eksaminētāja piezīmes vienlaikus ir eksaminētāja personas dati. Viņa tiesības var attaisnot piekļuves tiesību ierobežojumus saskaņā ar Datu aizsardzības direktīvas 13. panta 1. punkta g) apakšpunktu, ja tām ir lielāka nozīme nekā personas, kura kārto pārbaudījumu, likumīgajām interesēm. Galīgais šī iespējamā interešu konflikta risinājums parasti varētu būt izlabotā darba iznīcināšana, līdzko vēlāka pārbaudījuma procedūras pārbaude nav vairs iespējama termiņa beigu dēļ.
C. Par pārējiem Datu aizsardzības direktīvas piemērošanas nosacījumiem
66. Komisija pareizi norāda, ka Datu aizsardzības direktīvas un piekļuves tiesību piemērojamības nosacījums ir ne tikai personas datu konstatēšana, bet tai ir arī citi nosacījumi, un tā atļauj arī ierobežot piekļuves tiesības.
67. Taču nav uzdots jautājums par šiem papildu nosacījumiem un iespējamiem ierobežojumiem, un tas nozīmē, ka Tiesai tie nav jāanalizē. Šķiet, ka tie nav arī jāanalizē, lai Supreme Court varētu izlemt par to, vai toreizējais Īrijas datu aizsardzības uzraudzītājs pamatoti noraidīja turpmāku P. Nowak sūdzības izskatīšanu.
68. Taču, ja Tiesa vēlētos izteikties par šiem jautājumiem, sākotnēji īpaša nozīme būtu Datu aizsardzības direktīvas 3. panta 1. punktam. Atbilstoši tam direktīva attiecas tikai uz personas datu apstrādi pilnībā vai daļēji ar automatizētiem līdzekļiem un uz personas datu, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, apstrādi, kura netiek veikta ar automatizētiem līdzekļiem.
69. Šķiet, ka nav noteikti jāsecina, ka P. Nowak pārbaudes darbs tika apstrādāts ar automatizētiem līdzekļiem, piemēram, ierakstot to elektroniskā datu apstrādes iekārtā un saglabājot. Taču ir jāpieņem, ka tas veido vismaz “kartotēkas” daļu. Tas tādēļ, ka kartotēkai saskaņā ar Datu aizsardzības direktīvas 2. panta c) punktu nav noteikti jābūt saglabātai elektroniskā datu apstrādes iekārtā. Drīzāk šis jēdziens aptver jebkuru sakārtotu personas datu kopumu, kurā šie dati ir pieejami saskaņā ar īpašiem kritērijiem. Alfabētiskā kārtībā vai saskaņā ar citiem kritērijiem sakārtots fizisks pārbaudes darbu papīra formā kopums jau atbilst šīm prasībām.
V. Secinājumi
70. Tāpēc ierosinu Tiesai nolemt šādi:
Ar roku rakstīts pārbaudes darbs, kas var tikt attiecināts uz personu, kura kārto pārbaudījumu, ieskaitot iespējamas eksaminētāja piezīmes, ir personas dati Direktīvas 95/46/EK par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti 2. panta a) punkta izpratnē.