WYROK TRYBUNAŁU (piąta izba)
z dnia 16 listopada 2023 r.(*)
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa (UE) 2016/680 – Artykuł 17 – Wykonywanie praw osoby, której dane dotyczą, za pośrednictwem organu nadzorczego – Weryfikacja zgodności przetwarzania danych z prawem – Artykuł 17 ust. 3 – Minimalny obowiązek informowania osoby, której dane dotyczą – Zakres – Ważność – Artykuł 53 – Prawo do wniesienia skutecznego środka prawnego przed sądem od decyzji organu nadzorczego – Pojęcie „prawnie wiążącej decyzji” – Karta praw podstawowych Unii Europejskiej – Artykuł 8 ust. 3 – Kontrola niezależnego organu – Artykuł 47 – Prawo do skutecznej ochrony sądowej
W sprawie C‑333/22
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez cour d’appel de Bruxelles (sąd apelacyjny w Brukseli, Belgia) postanowieniem z dnia 9 maja 2022 r., które wpłynęło do Trybunału w dniu 20 maja 2022 r., w postępowaniu:
Ligue des droits humains ASBL,
BA
przeciwko
Organe de contrôle de l’information policière,
TRYBUNAŁ (piąta izba),
w składzie: E. Regan, prezes izby, Z. Csehi, M. Ilešič, I. Jarukaitis i D. Gratsias (sprawozdawca), sędziowie,
rzecznik generalna: L. Medina,
sekretarz: M. Siekierzyńska, administratorka,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 29 marca 2023 r.,
rozważywszy uwagi, które przedstawili:
– w imieniu Ligue des droits humains ASBL i BA – C. Forget, avocate,
– w imieniu Organe de contrôle de l’information policière (OCIP) – J. Bosquet i J.‑F. De Bock, advocaten,
– w imieniu rządu belgijskiego – P. Cottin, J.-C. Halleux, C. Pochet i A. Van Baelen, w charakterze pełnomocników, których wspierali N. Cariat, C. Fischer, B. Lombaert i J. Simba, avocats,
– w imieniu rządu czeskiego – O. Serdula, M. Smolek i J. Vláčil, w charakterze pełnomocników,
– w imieniu rządu francuskiego – J. Illouz, w charakterze pełnomocnika,
– w imieniu Parlamentu Europejskiego – S. Alonso de León, O. Hrstková Šolcová, P. López‑Carceller i M. Thibault, w charakterze pełnomocników,
– w imieniu Komisji Europejskiej – A. Bouchagiar, H. Kranenborg, A.‑C. Simon i F. Wilman, w charakterze pełnomocników,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 15 czerwca 2023 r.,
wydaje następujący
Wyrok
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy, po pierwsze, wykładni art. 8 ust. 3 i art. 47 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”), a po drugie, ważności – w świetle wyżej wymienionych postanowień karty – art. 17 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89).
2 Wniosek ten został złożony w ramach sporu między Ligue des droits humains i BA a Organe de contrôle de l’information policière (OCIP) (organem nadzorczym ds. informacji policyjnych, Belgia) w przedmiocie wykonywania za pośrednictwem tego organu przysługujących BA praw związanych z dotyczącymi go danymi osobowymi przetwarzanymi przez belgijskie służby policyjne, na podstawie których to danych Autorité nationale de sécurité (krajowy organ bezpieczeństwa, Belgia) oddalił złożony przez tę osobę wniosek o wydanie poświadczenia bezpieczeństwa.
Ramy prawne
Prawo Unii
3 Motywy 7, 10, 43, 46, 48, 75, 82, 85 i 86 dyrektywy 2016/680 stanowią:
„(7) Zapewnienie spójnego, wysokiego stopnia ochrony danych osobowych osób fizycznych oraz ułatwienie wymiany danych osobowych między właściwymi organami państw członkowskich ma zasadnicze znaczenie dla zapewnienia skutecznej współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej. W tym celu należy we wszystkich państwach członkowskich zapewnić równorzędny stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Aby ochrona danych osobowych w Unii [Europejskiej] była skuteczna, należy wzmocnić prawa osób, których dane dotyczą, oraz obowiązki podmiotów, które przetwarzają dane osobowe, jak i odpowiadające im uprawnienia w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych w państwach członkowskich.
[…]
(10) W deklaracji nr 21 w sprawie ochrony danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej – załączonej do Aktu końcowego konferencji międzyrządowej, która przyjęła [t]raktat z Lizbony – konferencja uznała, że ze względu na szczególny charakter współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej konieczne może okazać się przyjęcie – na podstawie art. 16 TFUE – szczególnych przepisów o ochronie danych osobowych i swobodnym przepływie danych osobowych w tych dziedzinach.
[…]
(43) Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania danych i móc zweryfikować jego zgodność z prawem […].
[…]
(46) Każde ograniczenie praw osoby, której dane dotyczą, musi być zgodne z [k]artą i [europejską Konwencją o ochronie praw człowieka i podstawowych wolności, podpisaną w Rzymie dnia 4 listopada 1950 r.], w myśl wykładni zawartej, odpowiednio, w orzecznictwie Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka, a zwłaszcza musi odbywać się z poszanowaniem istoty tych praw i wolności.
[…]
(48) Jeżeli administrator odmawia osobie, której dane dotyczą, prawa do informacji, dostępu lub sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania, osoba, której dane dotyczą, powinna mieć prawo wystąpienia do krajowego organu nadzorczego o weryfikację zgodności przetwarzania z prawem […].
[…]
(75) Zasadniczym elementem ochrony osób fizycznych w związku z przetwarzaniem danych osobowych jest utworzenie w państwach członkowskich organów nadzorczych, które mają możliwość wykonywania swych funkcji w sposób całkowicie niezależny. Organy nadzorcze powinny monitorować stosowanie niniejszej dyrektywy oraz powinny przyczyniać się do ich spójnego stosowania w całej Unii, po to by chronić osoby fizyczne w związku z przetwarzaniem jej [ich] danych osobowych […].
[…]
(82) Aby zapewnić skuteczne, rzetelne i spójnie przestrzeganie i wykonywanie niniejszej dyrektywy w całej Unii zgodnie z TFUE w interpretacji Trybunału Sprawiedliwości, organy nadzorcze powinny mieć w każdym państwie członkowskim te same zadania i faktyczne uprawnienia, w tym uprawnienia w zakresie prowadzenia postępowań, uprawnienia naprawcze i doradcze, które umożliwiają wykonywanie powierzonych im zadań […].
[…]
(85) Każda osoba, której dane dotyczą, powinna mieć prawo wniesienia skargi do jednego organu nadzorczego oraz prawo do skutecznego środka prawnego przed sądem zgodnie z art. 47 karty praw podstawowych, jeżeli uzna, że jej prawa wynikające z przepisów przyjętych na podstawie niniejszej dyrektywy są naruszane, lub jeżeli organ nadzorczy nie reaguje na skargę, w części lub w całości ją odrzuca lub oddala lub nie podejmuje działania, choć jest ono niezbędne do ochrony praw osoby, której dane dotyczą […].
(86) Każda osoba fizyczna lub prawna powinna mieć prawo do skutecznego środka prawnego przed właściwym sądem krajowym od decyzji organu nadzorczego wywołującej skutki prawne wobec tej osoby. Taka decyzja może dotyczyć zwłaszcza wykonywania przez organ nadzorczy uprawnień do prowadzenia postępowań wyjaśniających, uprawnień naprawczych i do wydawania zezwoleń lub oddalania lub odrzucania skarg. Prawo to nie dotyczy jednak innych niewiążących prawnie środków organów nadzorczych, takich jak wydawane przez organ opinie czy zalecenia. Postępowanie przeciwko organowi nadzorczemu należy wszcząć przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę, a postępowanie powinno się toczyć zgodnie z prawem tego państwa członkowskiego. Sądy te powinny wykonywać pełną jurysdykcję w sprawie, w tym w zakresie ustalenia okoliczności faktycznych i prawnych istotnych dla rozstrzygnięcia sprawy”.
4 Artykuł 1 tej dyrektywy, zatytułowany „Przedmiot i cele”, stanowi w ust. 1 i 2:
„1. Niniejsza dyrektywa ustanawia przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
2. Zgodnie z niniejszą dyrektywą państwa członkowskie:
a) chronią prawa podstawowe i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych; oraz
b) zapewniają, by wymiana danych osobowych przez właściwe organy w Unii, jeżeli wynika z prawa Unii lub prawa krajowego, nie była ograniczana ani zakazywana z powodów dotyczących ochrony osób fizycznych w związku z przetwarzaniem danych osobowych”.
5 Wspomniana dyrektywa zawiera rozdział III, zatytułowany „Prawa osoby, której dane dotyczą”, obejmujący w szczególności art. 13–17. Artykuł 13, zatytułowany „Informacje udostępniane lub przekazywane osobie, której dane dotyczą”, ustanawia w ust. 1 obowiązek zapewnienia przez państwa członkowskie, by administrator udostępniał osobie, której dane dotyczą, pewne minimalne informacje, takie jak w szczególności tożsamość i dane kontaktowe administratora. Ponadto w art. 13 ust. 2 tej dyrektywy wymieniono dalsze informacje, w odniesieniu do których państwa członkowskie muszą nałożyć na administratora ustawowy obowiązek ich przekazania osobie, której dane dotyczą, aby umożliwić jej wykonywanie przysługujących jej praw. Artykuł 13 ust. 3 i 4 wspomnianej dyrektywy stanowi:
„3. Państwa członkowskie mogą przyjąć akty prawne pozwalające opóźnić, ograniczyć lub pominąć informowanie osoby, której dane dotyczą, przewidziane w ust. 2 w takim zakresie i przez taki czas, w jakim odnośny środek jest działaniem koniecznym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej, aby:
a) uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur;
b) uniemożliwić zakłócanie zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu i ściganiu czynów zabronionych i wykonywaniu kar;
c) chronić bezpieczeństwo publiczne;
d) chronić bezpieczeństwo narodowe;
e) chronić prawa i wolności innych osób.
4. Państwa członkowskie mogą przyjąć akty prawne dla określenia kategorii przetwarzania, które w całości lub części wchodzą w zakres stosowania środków wskazanych w którejkolwiek z liter ust. 3”.
6 Artykuł 14 tej dyrektywy, zatytułowany „Prawo dostępu przysługujące osobie, której dane dotyczą”, brzmi następująco:
„Z zastrzeżeniem art. 15 państwa członkowskie zapewniają osobie, której dane dotyczą, prawo do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli takie dane są przetwarzane, prawo dostępu do danych osobowych […]”.
7 Zgodnie z art. 15 dyrektywy 2016/680, zatytułowanym „Ograniczenia prawa dostępu”:
„1. Państwa członkowskie mogą przyjąć akty prawne pozwalające ograniczyć w całości lub w części prawo dostępu osoby, której dane dotyczą, w takim stopniu i przez taki okres, w jakim takie częściowe lub całkowite ograniczenie jest działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej, aby:
a) uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur;
b) uniemożliwić zakłócanie zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu i ściganiu czynów zabronionych i wykonywaniu kar;
c) chronić bezpieczeństwo publiczne;
d) chronić bezpieczeństwo narodowe;
e) chronić prawa i wolności innych osób.
2. Państwa członkowskie mogą przyjąć akty prawne, aby ustalić kategorie przetwarzania, które w całości lub części wchodzą w zakres stosowania ust. 1 lit. a)–e).
3. W przypadkach, o których mowa w ust. 1 i 2, państwa członkowskie zapewniają, by administrator bez zbędnej zwłoki informował pisemnie osobę, której dane dotyczą, o każdej odmowie lub o każdym ograniczeniu dostępu i o przyczynach tej odmowy lub tego ograniczenia. Informacje takie można pominąć, jeżeli ich udzielenie godziłoby w którykolwiek z celów, o których mowa w ust. 1. Państwa członkowskie zapewniają, by administrator informował osobę, której dane dotyczą, o możliwości wniesienia skargi do organu nadzorczego lub środka prawnego do sądu.
4. Państwa członkowskie zapewniają, by administrator dokumentował faktyczne lub prawne powody, na jakich opiera się decyzja. Informacje te udostępnia się organom nadzorczym”.
8 Artykuł 16 tej dyrektywy, zatytułowany „Prawo do sprostowania lub usunięcia danych osobowych oraz ograniczenia ich przetwarzania”, stanowi:
„1. Państwa członkowskie zapewniają, by osoba, której dane dotyczą, miała prawo uzyskania od administratora sprostowania bez zbędnej zwłoki jej danych osobowych, jeżeli są nieprawidłowe. Mając na względzie cel przetwarzania, państwa członkowskie zapewniają, by osoba, której dane dotyczą, miała prawo uzyskania uzupełnienia niekompletnych danych osobowych […].
2. Państwa członkowskie nakładają na administratora wymóg usunięcia bez zbędnej zwłoki danych osobowych i zapewniają, by osoba, której dane dotyczą, miała prawo uzyskać od administratora usunięcie bez zbędnej zwłoki jej danych osobowych, jeżeli przetwarzanie narusza przepisy przyjęte na podstawie art. 4, 8 i 10 lub jeżeli dane osobowe muszą zostać usunięte w celu wypełnienia obowiązku prawnego ciążącego na administratorze.
3. Zamiast usunięcia administrator ogranicza przetwarzanie, jeżeli:
a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych, a ich prawidłowości lub nieprawidłowości nie można stwierdzić; lub
b) dane osobowe muszą zostać zachowane do celów dowodowych.
[…]
4. Państwa członkowskie zapewniają, by administrator informował pisemnie osobę, której dane dotyczą, o każdej odmowie sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania danych oraz o przyczynach tej odmowy. Państwa członkowskie mogą przyjąć akty prawne, które w całości lub w części ograniczają obowiązek udzielania takich informacji, jeżeli takie ograniczenie przetwarzania jest działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej, aby:
a) uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur;
b) uniemożliwić zakłócanie zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu i ściganiu czynów zabronionych i wykonywaniu kar;
c) chronić bezpieczeństwo publiczne;
d) chronić bezpieczeństwo narodowe;
e) chronić prawa i wolności innych osób.
Państwa członkowskie zapewniają, by administrator informował osobę, której dane dotyczą, o możliwości wniesienia skargi do organu nadzorczego lub środka prawnego do sądu.
[…]”.
9 Artykuł 17 wspomnianej dyrektywy, zatytułowany „Wykonywanie praw osoby, której dane dotyczą, oraz weryfikacja dokonywana przez organ nadzorczy”, przewiduje:
„1. W odniesieniu do przypadków, o których mowa w art. 13 ust. 3, art. 15 ust. 3 i art. 16 ust. 4, państwa członkowskie przyjmują środki przewidujące, że osoba, której dane dotyczą, może wykonywać swoje prawa także za pośrednictwem właściwego organu nadzorczego.
2. Państwa członkowskie zapewniają, by administrator informował osobę, której dane dotyczą, o możliwości wykonywania przysługujących jej praw za pośrednictwem organu nadzorczego na mocy ust. 1.
3. W razie wykonywania prawa, o którym mowa w ust. 1, organ nadzorczy informuje osobę, której dane dotyczą, przynajmniej o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądów. Organ nadzorczy informuje osobę, której dane dotyczą, także o przysługującym jej prawie do wniesienia środka prawnego do sądu”.
10 Artykuł 42 tej dyrektywy, zatytułowany „Niezależność”, stanowi w ust. 1:
„Państwa członkowskie zapewniają, by każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszą dyrektywą działał w sposób w pełni niezależny”.
11 Artykuł 46 dyrektywy 2016/680, zatytułowany „Zadania”, stanowi w ust. 1:
„Państwa członkowskie zapewniają, by na ich terytorium każdy organ nadzorczy:
a) monitorował i egzekwował stosowanie przepisów przyjętych na podstawie niniejszej dyrektywy oraz jej aktów wykonawczych;
[…]
f) rozpatrywał skargi wniesione przez osobę, której dane dotyczą […], w odpowiednim zakresie prowadził postępowanie w przedmiocie tych skarg i w rozsądnym terminie informował skarżącego o postępach i wynikach takiego postępowania […];
g) sprawdzał zgodność przetwarzania z prawem na mocy art. 17 oraz informował osobę, której dane dotyczą, w rozsądnym terminie o wynikach tej kontroli zgodnie z ust. 3 tego artykułu lub o powodach jej nieprzeprowadzenia;
[…]”.
12 Zgodnie z art. 47 tej dyrektywy, zatytułowanym „Uprawnienia”:
„1. Państwa członkowskie zapewniają, by każdy organ nadzorczy posiadał skuteczne uprawnienia w zakresie prowadzenia postępowań. Uprawnienia te obejmują co najmniej uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich przetwarzanych danych osobowych i wszelkich informacji niezbędnych do wypełnienia jego zadań.
2. Państwa członkowskie zapewniają, by każdy organ nadzorczy posiadał skuteczne uprawnienia naprawcze, przykładowo takie jak:
a) wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu, zgodnie z którymi planowane operacje przetwarzania mogą skutkować naruszeniem przepisów przyjętych na podstawie niniejszej dyrektywy;
b) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji do przepisów przyjętych na podstawie niniejszej dyrektywy, w razie potrzeby w konkretny sposób i w konkretnym terminie, zwłaszcza poprzez nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania zgodnie z art. 16;
c) wprowadzenie czasowych lub stałych ograniczeń przetwarzania, w tym zakazu przetwarzania.
[…]
4. Wykonywanie uprawnień powierzonych organowi nadzorczemu na mocy niniejszego artykułu podlega odpowiednim gwarancjom, w tym prawu do skutecznego środka prawnego przed sądem i rzetelnego procesu, określonym w prawie Unii i prawie państwa członkowskiego zgodnie z kartą.
[…]”.
13 Artykuł 52 wspomnianej dyrektywy, zatytułowany „Prawo do wniesienia skargi do organu nadzorczego”, przewiduje w ust. 1:
„Z zastrzeżeniem innych środków administracyjnych lub środków prawnych przed sądem państwa członkowskie zapewniają, by każda osoba, której dane dotyczą, miała prawo wnieść skargę do jednego organu nadzorczego, jeżeli sądzi, że dotyczące jej przetwarzanie danych osobowych narusza przepisy przyjęte na podstawie niniejszej dyrektywy”.
14 Artykuł 53 tej dyrektywy, zatytułowany „Prawo do skutecznego środka prawnego przed sądem od decyzji organu nadzorczego”, stanowi w ust. 1:
„Z zastrzeżeniem innych środków administracyjnych lub pozasądowych środków ochrony prawnej państwa członkowskie stanowią prawem, że każda osoba fizyczna lub prawna ma prawo do skutecznego środka prawnego przed sądem od prawnie wiążącej decyzji organu nadzorczego, która jej dotyczy”.
15 Artykuł 54 dyrektywy 2016/680, zatytułowany „Prawo do skutecznego środka prawnego przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu”, brzmi następująco:
„Z zastrzeżeniem dostępnych środków administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego na mocy art. 52, państwa członkowskie zapewniają osobie, której dane dotyczą, prawo do skutecznego środka prawnego przed sądem, jeżeli osoba ta uważa, iż jej prawa ustanowione w przepisach przyjętych na podstawie niniejszej dyrektywy zostały naruszone wskutek przetwarzania jej danych osobowych w sposób niezgodny z tymi przepisami”.
Prawo belgijskie
16 Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (ustawa o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych) z dnia 30 lipca 2018 r. (Moniteur belge z dnia 5 września 2018 r., s. 68616; zwana dalej „LPD”) dokonuje w tytule 2 transpozycji dyrektywy 2016/680. Prawa wymienione w art. 13–16 tej dyrektywy zostały określone w rozdziale III wspomnianego tytułu, a dokładniej w art. 37–39 wspomnianej ustawy.
17 Artykuł 42 LPD stanowi:
„Wniosek o skorzystanie z praw, o których mowa w niniejszym rozdziale, w odniesieniu do służb policyjnych […] lub inspection générale de la police fédérale et de la police locale [(inspekcji generalnej policji federalnej i policji lokalnej)] należy kierować do organu nadzorczego, o którym mowa w art. 71.
W przypadkach, o których mowa w art. 37 § 2, art. 38 § 2 [i] art. 39 § 4 […], organ nadzorczy, o którym mowa w art. 71, informuje jedynie osobę, której dane dotyczą, o przeprowadzeniu niezbędnych weryfikacji.
Niezależnie od akapitu drugiego organ nadzorczy, o którym mowa w art. 71, może przekazać zainteresowanej osobie pewne informacje kontekstowe.
Król, po zasięgnięciu opinii organu nadzorczego, o którym mowa w art. 71, ustala kategorię informacji kontekstowych, które mogą zostać przekazane osobie zainteresowanej przez ten organ nadzorczy”.
18 Według cour d’appel de Bruxelles (sądu apelacyjnego w Brukseli, Belgia), będącego sądem odsyłającym, nie przyjęto żadnego dekretu królewskiego w celu wykonania art. 42 akapit czwarty LPD.
19 Zgodnie z art. 71 § 1 LPD:
„Tworzy się przy Chambre des représentants [(izbie reprezentantów)] niezależny organ nadzorczy ds. informacji policyjnych zwany Organe de contrôle de l’information policière [(organem nadzorczym ds. informacji policyjnych)].
[…]
Ma on […] za zadanie:
1° sprawowanie nadzoru nad stosowaniem niniejszego tytułu […];
2° nadzorowanie przetwarzania informacji i danych osobowych, o których mowa w art. 44/1–44/11/13 loi du 5 août 1992 sur la fonction de police [(ustawy z dnia 5 sierpnia 1992 r. o policji)], w tym danych zawartych w bazach danych, o których mowa w art. 44/2 tej ustawy;
3° wszelkie inne funkcje przewidziane w innych ustawach lub na ich mocy”.
20 Rozdział I tytułu 5 LPD nosi nagłówek „Skarga o zaprzestanie naruszeń”. Zawarty w tym rozdziale art. 209 brzmi następująco:
„Bez uszczerbku dla wszelkich innych sądowych, administracyjnych lub pozasądowych środków prawnych prezes tribunal de première instance [(sądu pierwszej instancji)], rozstrzygając w postępowaniu w przedmiocie środka tymczasowego, orzeka o zaistnieniu przetwarzania danych stanowiącego naruszenie przepisów ustawowych lub wykonawczych dotyczących ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych i nakazuje zaprzestanie naruszeń.
Prezes tribunal de première instance [(sądu pierwszej instancji)], orzekając w postępowaniu w przedmiocie środka tymczasowego, rozpoznaje każdy wniosek odnoszący się do przyznanego ustawą lub na jej mocy prawa do uzyskania informacji o danych osobowych oraz każdy wniosek mający na celu sprostowanie, usunięcie lub zakazanie wykorzystania wszelkich danych osobowych, które są niedokładne lub, z uwagi na cel przetwarzania, niepełne lub nieistotne bądź których zarejestrowanie, przekazywanie lub przechowywanie jest zakazane, wobec przetwarzania których osoba zainteresowana wyraziła sprzeciw lub których okres przechowywania był dłuższy niż dozwolony”.
21 Artykuł 240 pkt 4 LPD stanowi:
„[OCIP]
[…]
4° rozpatruje zażalenia, bada przedmiot zażalenia w niezbędnym zakresie i informuje wnoszącego zażalenie o przebiegu i wynikach postępowania wyjaśniającego w rozsądnym terminie, w szczególności jeśli niezbędne są uzupełnienie postępowania wyjaśniającego lub koordynacja z innym organem nadzorczym […]”.
Postępowanie główne i pytania prejudycjalne
22 W 2016 r. BA, będący wówczas pracownikiem stowarzyszenia o celu niezarobkowym zatrudnionym w niepełnym wymiarze czasu pracy, zwrócił się do krajowego organu bezpieczeństwa o wydanie poświadczenia bezpieczeństwa, aby wziąć udział w pracach montażu i demontażu instalacji w ramach dziesiątej edycji „Europejskich Dni Rozwoju” w Brukseli (Belgia).
23 Pismem z dnia 22 czerwca 2016 r. organ ten odmówił wydania BA poświadczenia bezpieczeństwa na tej podstawie, że z udostępnionych mu danych osobowych wynikało, iż w latach 2007–2016 osoba ta uczestniczyła w dziesięciu demonstracjach i że informacje te nie pozwalają na wydanie jej takiego poświadczenia w ramach mającego zastosowanie uregulowania, w szczególności ze względu na bezpieczeństwo państwa i ciągłość konstytucyjnego porządku demokratycznego. Decyzja ta nie została w żaden sposób zakwestionowana.
24 W dniu 4 lutego 2020 r. pełnomocnik BA zwrócił się do OCIP o wskazanie administratorów odnośnych danych osobowych oraz o nakazanie im udzielenia jego klientowi dostępu do wszystkich dotyczących go informacji w celu umożliwienia mu wykonywania przysługujących mu praw w odpowiednich terminach.
25 Wiadomością elektroniczną z dnia 6 lutego 2020 r. OCIP potwierdził otrzymanie tego wniosku. Wskazał on, że BA przysługuje jedynie pośrednie prawo dostępu do tych danych, zapewniając jednocześnie, iż sam dokona sprawdzenia zgodności ich ewentualnego przetwarzania z prawem w Banque de données nationale générale (krajowym generalnym banku danych), czyli bazie danych, z której korzystają wszystkie krajowe służby policyjne. Organ ten wyjaśnił ponadto, że przysługuje mu uprawnienie do nakazania policji usunięcia lub zmiany danych, jeśli okaże się to niezbędne, oraz że po zakończeniu wspomnianej kontroli poinformuje BA o tym, że przeprowadzono niezbędne weryfikacje.
26 Wiadomością elektroniczną z dnia 22 czerwca 2020 r. OCIP zawiadomił pełnomocnika BA:
„[…]
„Zgodnie z art. 42 [LPD] informuję Państwa, że [OCIP] przeprowadził niezbędne weryfikacje.
Oznacza to, że dane osobowe Państwa klienta zostały sprawdzone w policyjnych bankach danych w celu zapewnienia zgodności z prawem ich ewentualnego przetwarzania.
W razie potrzeby dane osobowe zostały zmienione lub usunięte.
Jak zostało to wskazane w mojej wiadomości elektronicznej z dnia [2] czerwca, zgodnie art. 42 LPD [OCIP] nie może udzielić dalszych informacji”.
27 W dniu 2 września 2020 r. Ligue des droits humains i BA złożyli do tribunal de première instance francophone de Bruxelles (francuskojęzycznego sądu pierwszej instancji w Brukseli, Belgia) wniosek w przedmiocie środka tymczasowego na podstawie art. 209 akapit drugi LPD.
28 W pierwszej kolejności skarżący w postępowaniu głównym zwrócili się do tego sądu o uznanie ich wniosku w przedmiocie środka tymczasowego za dopuszczalny, a posiłkowo o zwrócenie się do Trybunału w istocie z pytaniem, czy art. 47 ust. 4 dyrektywy 2016/680 w świetle motywów 85 i 86 tej dyrektywy i w związku z art. 8 ust. 3 oraz z art. 47 karty stoi na przeszkodzie art. 42 i 71 LPD w zakresie, w jakim przepisy te nie przewidują żadnego środka prawnego przed sądem od decyzji wydanych przez OCIP.
29 W drugiej kolejności, co do istoty, żądali oni dostępu do wszystkich danych osobowych dotyczących BA za pośrednictwem OCIP oraz wskazania przez OCIP administratorów i ewentualnych odbiorców tych danych.
30 Na wypadek gdyby sąd rozpoznający sprawę uznał, że art. 42 akapit drugi LPD pozwala na systemowe ograniczanie dostępu do danych osobowych przetwarzanych przez służby policyjne, skarżący w postępowaniu głównym zwrócili się posiłkowo o skierowanie do Trybunału w istocie pytania dotyczącego tego, czy art. 14, 15 i 17 dyrektywy 2016/680 w związku z art. 8 i 47 oraz art. 52 ust. 1 karty należy interpretować w ten sposób, iż stoją one na przeszkodzie ustawodawstwu krajowemu dopuszczającemu ogólne i systemowe odstępstwo od prawa dostępu do danych osobowych, jeżeli, po pierwsze, prawo to jest wykonywane za pośrednictwem organu nadzorczego, a po drugie, organ ten może ograniczyć się do wskazania osobie, której dane dotyczą, że przeprowadził wszelkie niezbędne weryfikacje, bez informowania jej o danych osobowych będących przedmiotem przetwarzania i o odbiorcach, niezależnie od realizowanego celu.
31 Postanowieniem z dnia 17 maja 2021 r. tribunal de première instance francophone de Bruxelles (francuskojęzyczny sąd pierwszej instancji w Brukseli, Belgia) uznał „brak swojej właściwości” do rozpoznania tego wniosku w przedmiocie środka tymczasowego.
32 Pismem z dnia 15 czerwca 2021 r. do cour d’appel de Bruxelles (sądu apelacyjnego w Brukseli, Belgia) skarżący w postępowaniu głównym wnieśli środek odwoławczy od tego postanowienia. Powtórzyli oni w istocie żądania przedstawione w pierwszej instancji.
33 W tym kontekście sąd odsyłający w szczególności zauważa w istocie, że w przypadku gdy danej osobie nie przysługuje uprawnienie do osobistego wykonywania praw przewidzianych w dyrektywie 2016/680, przewidziana w art. 209 i nast. LPD skarga o zaprzestanie naruszeń nie może zostać wniesiona. Przede wszystkim można bowiem można wnieść taką skargę przeciwko administratorowi, a nie przeciwko samemu organowi nadzorczemu. Następnie – nie może być ona również wniesiona przez tę osobę, w niniejszym przypadku BA, przeciwko administratorowi, ponieważ wykonywanie jej praw zostało powierzone wspomnianemu organowi. Wreszcie przekazanie BA szczególnie zwięzłej informacji przez OCIP nie pozwala ani jemu, ani sądowi na dokonanie oceny, czy ten organ nadzorczy prawidłowo wykonał prawa przysługujące wspomnianej osobie. Sąd odsyłający dodaje, że o ile LPD przewiduje, że skarga o zaprzestanie naruszeń pozostaje bez uszczerbku dla wszelkich innych sądowych, administracyjnych lub pozasądowych środków prawnych, o tyle taki inny środek prawny wniesiony przez BA napotkałby te same przeszkody.
34 W tych okolicznościach cour d’appel de Bruxelles (sąd apelacyjny w Brukseli) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy art. 47 i art. 8 ust. 3 [karty] wymagają ustanowienia środka prawnego przed sądem przeciwko niezależnemu organowi nadzorczemu, takiemu jak [OCIP], w sytuacji gdy wykonuje on prawa osoby, której dane dotyczą, wobec administratora?
2) Czy art. 17 dyrektywy 2016/680 jest zgodny z art. 47 i art. 8 ust. 3 [karty] stosownie do ich wykładni dokonanej przez Trybunał Sprawiedliwości w zakresie, w jakim przepis ten zobowiązuje organ nadzorczy – wykonujący prawa osoby, której dane dotyczą, wobec administratora – jedynie do poinformowania tej osoby »o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądów« oraz »o przysługującym jej prawie do wniesienia środka prawnego do sądu«, w sytuacji gdy udzielenie takiej informacji nie umożliwia żadnej kontroli a posteriori działania podjętego i oceny dokonanej przez organ nadzorczy w odniesieniu do danych osoby, której dane dotyczą, oraz obowiązków spoczywających na administratorze?”.
W przedmiocie pytań prejudycjalnych
W przedmiocie pytania pierwszego
35 Na wstępie z wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika, że wątpliwości sądu odsyłającego dotyczą istnienia, na podstawie art. 53 ust. 1 dyrektywy 2016/680 w świetle art. 47 karty, obowiązku ustanowienia przez państwa członkowskie prawa do skutecznego środka prawnego przed sądem przeciwko właściwemu krajowemu organowi nadzorczemu w ramach wdrożenia przepisu prawa krajowego transponującego art. 17 tej dyrektywy, zgodnie z którym w przypadkach wskazanych w art. 13 ust. 3, art. 15 ust. 3 i art. 16 ust. 4 wspomnianej dyrektywy prawa osoby, której dane dotyczą, mogą być wykonywane za pośrednictwem takiego organu nadzorczego.
36 Ponadto należy zauważyć, że odpowiedź na to pytanie zależy od charakteru i zakresu zadań i uprawnień organu nadzorczego w ramach przewidzianego w art. 17 dyrektywy 2016/680 wykonywania praw osoby, której dane dotyczą. Zostały zaś one uściślone w art. 46 ust. 1 lit. g) oraz w art. 47 ust. 1 i 2 tej dyrektywy i należy je analizować w świetle art. 8 ust. 3 karty, który wymaga, aby przestrzeganie zasad dotyczących ochrony danych osobowych, ustanowionych w art. 8 ust. 1 i 2 karty, podlegało kontroli niezależnego organu.
37 W związku z tym należy rozumieć, że poprzez pytanie pierwsze sąd odsyłający dąży w istocie do ustalenia, czy art. 17 dyrektywy 2016/680 w związku z art. 46 ust. 1 lit. g), art. 47 ust. 1 i 2 oraz art. 53 ust. 1 tej dyrektywy, a także z art. 8 ust. 3 i art. 47 karty należy interpretować w ten sposób, że jeżeli prawa danej osoby były wykonywane na podstawie wspomnianego art. 17 za pośrednictwem właściwego organu nadzorczego, osobie tej musi przysługiwać skuteczny środek prawny przed sądem przeciwko wspomnianemu organowi.
38 Na wstępie należy przypomnieć, że na mocy art. 53 ust. 1 dyrektywy 2016/680 państwa członkowskie powinny zapewnić, by każda osoba fizyczna lub prawna miała prawo do skutecznego środka prawnego przed sądem od prawnie wiążącej decyzji organu nadzorczego, która jej dotyczy.
39 Należy zatem ustalić, czy organ nadzorczy wydaje taką decyzję, gdy na podstawie art. 17 tej dyrektywy wymienione w tej dyrektywie prawa osób, których dane dotyczą, są wykonywane za pośrednictwem tego organu nadzorczego.
40 W tym względzie należy zauważyć, że zgodnie z art. 17 ust. 1 dyrektywy 2016/680 „w odniesieniu do przypadków, o których mowa w art. 13 ust. 3, art. 15 ust. 3 i art. 16 ust. 4” tej dyrektywy, państwa członkowskie mają obowiązek przyjęcia środków „przewidując[ych], że osoba, której dane dotyczą, może wykonywać swoje prawa także za pośrednictwem właściwego organu nadzorczego”.
41 Jak wskazuje użycie partykuły „także” i jak zauważyła w istocie rzecznik generalna w pkt 41 i 42 opinii, przewidziane w tym przepisie pośrednie wykonywanie praw osoby, której dane dotyczą, za pośrednictwem właściwego organu nadzorczego stanowi udzielaną danej osobie dodatkową gwarancję, że jej dane osobowe są przetwarzane zgodnie z prawem, w sytuacji gdy krajowe przepisy ustawowe ograniczają bezpośrednie wykonywanie prawa do otrzymywania od administratora dalszych informacji, wskazanego w art. 13 ust. 2 dyrektywy 2016/680, prawa dostępu do tych danych, wymienionego w art. 14 tej dyrektywy, lub prawa do uzyskania ich sprostowania, ich usunięcia lub ograniczenia przetwarzania na warunkach określonych w art. 16 ust. 1–3 wspomnianej dyrektywy.
42 Z uwagi bowiem na szczególny charakter celów, dla których dokonywane jest przetwarzanie danych objęte tą dyrektywą, podkreślonych w szczególności w jej motywie 10, art. 13 ust. 3 i art. 15 ust. 1 dyrektywy 2016/680 zezwalają ustawodawcy krajowemu na ograniczenie bezpośredniego wykonywania, po pierwsze, prawa do informacji, a po drugie, prawa dostępu, „w takim zakresie i przez taki czas, w jakim odnośny środek jest działaniem koniecznym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej”, aby „uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur”, „uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar”, „chronić bezpieczeństwo publiczne”, „chronić bezpieczeństwo narodowe” lub „chronić prawa i wolności innych osób”. Ponadto art. 15 ust. 3 tej dyrektywy przewiduje, że administrator może nie informować osoby, której dane dotyczą, o każdej odmowie lub o każdym ograniczeniu dostępu i o przyczynach tej odmowy lub tego ograniczenia, jeżeli udzielenie tych informacji godziłoby w którykolwiek z wyżej wymienionych celów uzasadnionych interesem publicznym.
43 Podobnie art. 16 ust. 4 wspomnianej dyrektywy upoważnia ustawodawcę krajowego do ograniczenia ciążącego na administratorze obowiązku „informowa[nia] pisemnie osob[y], której dane dotyczą, o każdej odmowie sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania danych oraz o przyczynach tej odmowy” w odniesieniu do tych samych celów uzasadnionych interesem publicznym, „jeżeli takie ograniczenie przetwarzania jest działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej”.
44 W związku z tym w tych ramach, jak wynika z motywu 48 tej dyrektywy, pośrednie wykonywanie praw wskazanych w pkt 41 niniejszego wyroku za pośrednictwem właściwego organu nadzorczego należy uznać za niezbędne do ochrony tych praw, w sytuacji gdy ich bezpośrednie wykonywanie wobec administratora okazuje się utrudnione lub wręcz niemożliwe.
45 W tym celu art. 46 ust. 1 lit. g) dyrektywy 2016/680 wymaga, aby każdemu właściwemu organowi krajowemu powierzono zadanie sprawdzenia zgodności przetwarzania z prawem na podstawie art. 17 tej dyrektywy, czyli wskutek wniosku opierającego się na tym ostatnim przepisie.
46 Ponadto w szczególności z art. 47 ust. 1 i 2 wspomnianej dyrektywy wynika, że na mocy prawa krajowego każdy organ nadzorczy powinien posiadać nie tylko „skuteczne uprawnienia w zakresie prowadzenia postępowań”, lecz również „skuteczne uprawnienia naprawcze”.
47 Przepisy te należy interpretować w świetle wyrażonego w art. 8 ust. 3 karty wymogu, zgodnie z którym przestrzeganie określonych w ust. 1 i 2 tego artykułu zasad dotyczących prawa każdej osoby do ochrony danych osobowych powinno „podlega[ć] kontroli niezależnego organu”, a w szczególności wyrażonego w art. 8 ust. 2 zdanie drugie karty wymogu, zgodnie z którym „[k]ażdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania”. Jak bowiem potwierdza to utrwalone orzecznictwo, ustanowienie niezależnego organu nadzorczego ma na celu zapewnienie skuteczności i wiarygodności kontroli przestrzegania przepisów w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i powinno być interpretowane w świetle tego celu [zob. podobnie opinia 1/15 (Umowa PNR UE–Kanada) z dnia 26 lipca 2017 r., EU:C:2017:592, pkt 229 i przytoczone tam orzecznictwo].
48 W związku z tym, gdy taki organ nadzorczy działa w celu zapewnienia wykonania praw osoby, której dane dotyczą, na podstawie art. 17 dyrektywy 2016/680, jego zadanie wpisuje się w pełni w dokonane w prawie pierwotnym Unii określenie jego roli, ponieważ określenie to pociąga za sobą w szczególności kontrolę przestrzegania prawa dostępu przysługującego osobie, której dane dotyczą, oraz jej prawa do sprostowania. Wynika z tego, że przy wykonywaniu tego szczególnego zadania, podobnie jak w ramach wszelkich innych zadań, organ nadzorczy powinien być w stanie wykonywać uprawnienia powierzone mu na mocy art. 47 tej dyrektywy, działając w pełni niezależnie – zgodnie z kartą i jak to stanowi motyw 75 wspomnianej dyrektywy.
49 Ponadto po zweryfikowaniu zgodności przetwarzania z prawem właściwy organ nadzorczy powinien zgodnie z art. 17 ust. 3 zdanie pierwsze tej dyrektywy poinformować osobę, której dane dotyczą, „przynajmniej o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądów”.
50 Jak zauważyła w istocie rzecznik generalna w pkt 65 opinii, z całości tych przepisów należy wywieść, że gdy właściwy organ nadzorczy informuje osobę, której dane dotyczą, o wynikach przeprowadzonych weryfikacji, powiadamia ją o wydanej wobec niej decyzji o zakończeniu procesu weryfikacji, która to decyzja nieuchronnie wpływa na sytuację prawną tej osoby. Decyzja ta stanowi zatem w stosunku do niej „prawnie wiążącą decyzję” w rozumieniu art. 53 ust. 1 dyrektywy 2016/680, niezależnie od kwestii, czy i w jakim zakresie organ ten stwierdził zgodność z prawem przetwarzania danych dotyczących tej osoby i skorzystał z uprawnień naprawczych.
51 Ponadto w motywie 86 tej dyrektywy wskazano, że pojęcie „prawnie wiążącej decyzji” w rozumieniu wspomnianej dyrektywy należy rozumieć jako decyzję, która wywołuje skutki prawne wobec osoby, której dane dotyczą, w szczególności jako decyzję dotyczącą wykonywania przez organ nadzorczy uprawnień do prowadzenia postępowań wyjaśniających, uprawnień naprawczych i do wydawania zezwoleń bądź dotyczącą oddalenia lub odrzucenia skarg.
52 W związku z tym osoba, której dane dotyczą, powinna mieć możliwość uzyskania sądowej kontroli zasadności takiej decyzji na podstawie art. 53 ust. 1 dyrektywy 2016/680, a w szczególności sposobu, w jaki organ nadzorczy wywiązał się ze spoczywającego na nim obowiązku „przeprowadzenia wszelkich niezbędnych weryfikacji”, który wynika z art. 17 tej dyrektywy i do którego odsyła art. 46 ust. 1 lit. g) wspomnianej dyrektywy, oraz, w stosownym przypadku, obowiązku skorzystania z przysługujących mu uprawnień naprawczych.
53 Wniosek ten znajduje ponadto potwierdzenie w motywie 85 dyrektywy 2016/680, z którego wynika, że każda osoba, której dane dotyczą, powinna mieć prawo do skutecznego środka prawnego przed sądem przeciwko organowi nadzorczemu, jeżeli organ ten „nie podejmuje działania, choć jest ono niezbędne do ochrony praw osoby, której dane dotyczą”.
54 Wreszcie taka wykładnia jest zgodna z art. 47 karty, ponieważ – jak wynika z utrwalonego orzecznictwa – prawo to należy przyznać każdej osobie powołującej się na prawa lub wolności zagwarantowane w prawie Unii przeciwko każdej niekorzystnej decyzji mogącej naruszać te prawa lub wolności [zob. podobnie wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestracja danych biometrycznych i genetycznych przez policję), C‑205/21, EU:C:2023:49, pkt 87 i przytoczone tam orzecznictwo].
55 W świetle całości powyższych rozważań na pytanie pierwsze należy odpowiedzieć, iż art. 17 dyrektywy 2016/680 w związku z art. 46 ust. 1 lit. g), art. 47 ust. 1 i 2 oraz art. 53 ust. 1 tej dyrektywy, a także z art. 8 ust. 3 i art. 47 karty należy interpretować w ten sposób, że jeżeli prawa danej osoby były wykonywane na podstawie wspomnianego art. 17 za pośrednictwem właściwego organu nadzorczego i organ ten informuje wspomnianą osobę o wynikach przeprowadzonych weryfikacji, osobie tej musi przysługiwać skuteczny środek prawny przed sądem przeciw podjętej przez wspomniany organ decyzji o zakończeniu procesu weryfikacji.
W przedmiocie pytania drugiego
56 Poprzez pytanie drugie sąd odsyłający dąży w istocie do ustalenia, czy art. 17 ust. 3 dyrektywy 2016/680 jest ważny w świetle art. 8 ust. 3 i art. 47 karty w zakresie, w jakim zobowiązuje on organ nadzorczy jedynie do tego, by poinformował osobę, której dane dotyczą, po pierwsze, o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądów oraz, po drugie, o przysługującym tej osobie prawie do wniesienia środka prawnego do sądu, w sytuacji gdy taka informacja nie pozwala na kontrolę sądową działania organu nadzorczego i dokonanych przez niego ocen, przy uwzględnieniu przetwarzanych danych i obowiązków administratora.
57 W tym względzie należy przypomnieć, że zgodnie z ogólną zasadą wykładni akt prawa Unii powinien być interpretowany tak dalece, jak to możliwe, w sposób, który nie podważa jego ważności, i w zgodzie z całością prawa pierwotnego, w tym w szczególności z postanowieniami karty. W związku z tym, wówczas gdy tekst prawa wtórnego Unii można poddać więcej niż jednej wykładni, należy dać raczej pierwszeństwo tej wykładni, która zapewnia zgodność przepisu z prawem pierwotnym, niż wykładni prowadzącej do uznania jego niezgodności z tym prawem (wyrok z dnia 21 czerwca 2022 r., Ligue des droits humains, C‑817/19, EU:C:2022:491, pkt 86 i przytoczone tam orzecznictwo).
58 Po drugie, zagwarantowane w art. 47 karty prawo do skutecznego środka prawnego wymaga co do zasady, by zainteresowany miał możliwość zapoznania się z powodami decyzji wydanej w stosunku do niego, co pozwoli mu na obronę jego praw w najlepszych możliwych warunkach oraz na w pełni świadome podjęcie decyzji, czy celowe jest wniesienie sprawy do właściwego sądu, a sądowi w pełni umożliwi dokonanie kontroli zgodności z prawem tej decyzji (zob. podobnie wyrok z dnia 4 czerwca 2013 r., ZZ, C‑300/11, EU:C:2013:363, pkt 53 i przytoczone tam orzecznictwo).
59 O ile prawo to nie jest prawem bezwzględnym i zgodnie z art. 52 ust. 1 karty dopuszcza się wprowadzenie ograniczeń tego prawa, o tyle jest tak pod warunkiem, że ograniczenia te są przewidziane w ustawie, szanują istotę tych praw i wolności oraz w zgodzie z zasadą proporcjonalności są one konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznanym przez Unię lub potrzebom ochrony praw i wolności innych osób [wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestracja danych biometrycznych i genetycznych przez policję), C‑205/21, EU:C:2023:49, pkt 89 i przytoczone tam orzecznictwo].
60 W niniejszej sprawie należy zauważyć, że co się tyczy decyzji właściwego organu nadzorczego określonej w pkt 50 niniejszego wyroku, art. 17 ust. 3 dyrektywy 2016/680 ustanawia wobec tego organu nadzorczego minimalny obowiązek informowania, przewidując, że organ ten informuje osobę, której dane dotyczą, „przynajmniej o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądów” oraz „o przysługującym jej prawie do wniesienia środka prawnego do sądu”.
61 Wynika z tego, że skoro przepis ten nie stoi na przeszkodzie temu, by w niektórych przypadkach, zgodnie z normami przyjętymi przez ustawodawcę krajowego w zamiarze jego wdrożenia, organ nadzorczy mógł mieć możliwość, a nawet obowiązek ograniczenia się do podania minimalnych informacji wskazanych w poprzednim punkcie niniejszego wyroku, bez dalszych uściśleń, w szczególności gdy normy te służą zapobieżeniu zagrożeniu dla realizacji określonych w art. 13 ust. 3, art. 15 ust. 1 i art. 16 ust. 4 wspomnianej dyrektywy celów uzasadnionych interesem publicznym, jak to wskazano w pkt 42 i 43 niniejszego wyroku, może on powodować ograniczenie prawa do skutecznego środka prawnego, zagwarantowanego w art. 47 karty.
62 Niemniej jednak w pierwszej kolejności należy stwierdzić, że takie ograniczenie jest wyraźnie przewidziane w dyrektywie 2016/680 i że w ten sposób spełnia ono warunek określony w art. 52 ust. 1 karty, zgodnie z którym wszelkie ograniczenia w korzystaniu z prawa podstawowego muszą być „przewidziane ustawą”.
63 W drugiej kolejności okoliczność, że art. 17 ust. 3 dyrektywy 2016/680 zezwala państwom członkowskim na ograniczenie w niektórych przypadkach uzasadnienia tej decyzji do minimalnych elementów określonych w tym przepisie, nie oznacza, jak wskazuje w istocie rzecznik generalna w pkt 89 opinii, że w każdych okolicznościach możliwe jest zawężenie zakresu informowania osoby, której dane dotyczą, jedynie do tych elementów.
64 Przepis ten należy bowiem interpretować w świetle art. 52 ust. 1 karty w taki sposób, by spełnione były pozostałe kryteria wymienione w tym postanowieniu. Oznacza to uznanie, że wspomniany przepis wymaga od państw członkowskich zapewnienia, aby przepisy prawa krajowego wdrażające ten przepis, po pierwsze, szanowały istotę prawa do skutecznej ochrony sądowej, a po drugie, opierały się na wyważeniu celów interesu publicznego uzasadniających ograniczenie tej informacji oraz praw podstawowych i uzasadnionych interesów wspomnianej osoby, z poszanowaniem zasad konieczności i proporcjonalności, na wzór wyważenia, jakiego ustawodawca krajowy powinien dokonać przy wdrażaniu ograniczeń przewidzianych w art. 13 ust. 3, art. 15 ust. 3 i art. 16 ust. 4 wspomnianej dyrektywy.
65 W szczególności, jeżeli z jednej strony wymaga tego ochrona prawa osoby, której dane dotyczą, do skutecznego środka prawnego przed sądem przeciwko decyzji o zakończeniu procesu weryfikacji, a z drugiej strony cele uzasadnione interesem publicznym, o których mowa w art. 13 ust. 3, art. 15 ust. 3 i art. 16 ust. 4 dyrektywy 2016/680, nie stoją temu na przeszkodzie, na państwach członkowskich spoczywa obowiązek zapewnienia, by poinformowanie osoby, której dane dotyczą, mogło wykraczać poza minimalne informacje przewidziane w art. 17 ust. 3 tej dyrektywy, tak aby pozwolić jej na obronę jej praw i na w pełni świadome podjęcie decyzji, czy celowe jest wniesienie sprawy do właściwego sądu.
66 Podobnie środki krajowe wdrażające ten ostatni przepis powinny w miarę możliwości pozostawiać właściwemu organowi nadzorczemu, zgodnie z niezależnością mającą go charakteryzować na mocy art. 8 ust. 3 karty, pewien zakres uznania przy ustalaniu, czy ramy określone przez prawo krajowe zgodnie z wymogami wskazanymi w pkt 65 niniejszego wyroku nie stoją na przeszkodzie powiadomieniu przez ten organ tej osoby, przynajmniej w zwięzły sposób, o wynikach weryfikacji oraz, w stosownym przypadku, o podjętych przez niego środkach naprawczych. W tym względzie, jak wskazuje w istocie rzecznik generalna w pkt 73 i 74 opinii, do organu tego należy, z poszanowaniem tych krajowych ram prawnych, nawiązanie poufnego dialogu z administratorem, a po zakończeniu tego dialogu podjęcie decyzji o tym, jakie informacje niezbędne do wykonania przez osobę, której dane dotyczą, przysługującego jej prawa do skutecznego środka prawnego przed sądem, organ ten może jej przekazać, nie godząc w cele uzasadnione interesem publicznym, o których mowa w pkt 65 niniejszego wyroku.
67 Ponadto w przypadkach, w których wspomniane ramy wymagają, by informacje przekazywane przez organ nadzorczy były ograniczone do tego, co przewiduje art. 17 ust. 3 dyrektywy 2016/680, do państw członkowskich należy jednak w ramach ich autonomii proceduralnej wdrożenie środków niezbędnych do zagwarantowania, zgodnie z art. 53 ust. 1 tej dyrektywy, skutecznej kontroli sądowej zarówno istnienia i zasadności powodów uzasadniających ograniczenie tych informacji, jak i prawidłowego wykonania przez organ nadzorczy jego zadania polegającego na weryfikacji zgodności przetwarzania z prawem. W tym względzie ujęte w tym ostatnim przepisie pojęcie „skutecznego środka prawnego przed sądem” należy interpretować w świetle motywu 86 wspomnianej dyrektywy, zgodnie z którym sądy, przed którymi wszczęto postępowania przeciwko organowi nadzorczemu, „powinny wykonywać pełną jurysdykcję w sprawie, w tym w zakresie ustalenia okoliczności faktycznych i prawnych istotnych dla rozstrzygnięcia sprawy”.
68 W szczególności państwa członkowskie powinny zapewnić, aby właściwy sąd miał do swojej dyspozycji i stosował metody oraz normy proceduralne pozwalające na pogodzenie z jednej strony prawnie uzasadnionych względów związanych z celami interesu publicznego wskazanymi w art. 13 ust. 3, art. 15 ust. 3 i art. 16 ust. 4 dyrektywy 2016/680, które to cele uwzględniono w ustawodawstwie krajowym, aby ograniczyć informacje przekazywane osobie, której dane dotyczą, a z drugiej strony konieczności zagwarantowania podmiotowi prawnemu w wystarczającym stopniu przestrzegania jego uprawnień procesowych, takich jak prawo do bycia wysłuchanym oraz zasada kontradyktoryjności (zob. podobnie wyrok z dnia 4 czerwca 2013 r., ZZ, C‑300/11, EU:C:2013:363, pkt 57 i przytoczone tam orzecznictwo).
69 W ramach kontroli sądowej prawidłowego stosowania art. 17 tej dyrektywy przez organ nadzorczy do państw członkowskich należy ustanowienie norm umożliwiających właściwemu sądowi zapoznanie się zarówno ze wszystkimi powodami, jak i odnośnymi dowodami, na których organ ten oparł w tych ramach weryfikację zgodności rozpatrywanego przetwarzania danych z prawem oraz dokonane przez siebie ustalenia (zob. podobnie wyrok z dnia 4 czerwca 2013 r., ZZ, C‑300/11, EU:C:2013:363, pkt 59 i przytoczone tam orzecznictwo).
70 W tym względzie, jak zauważył Parlament Europejski w swoich uwagach, art. 15 ust. 4 dyrektywy 2016/680 przewiduje, że administrator dokumentuje faktyczne lub prawne powody, na jakich opiera decyzję ograniczającą, w całości lub w części, prawa dostępu osoby, której dane dotyczą, oraz że informacje te udostępnia się organom nadzorczym. Jak zasugerowała ta instytucja, przepis ten, odczytywany w związku z art. 17 i 53 tej dyrektywy oraz w świetle art. 47 karty, stosownie do jego wykładni dokonanej w orzecznictwie przypomnianym w pkt 68 i 69 niniejszego wyroku, oznacza, że informacje te należy również udostępnić sądowi rozpoznającemu środek prawny przeciwko organowi nadzorczemu zmierzający do kontroli prawidłowego stosowania wspomnianego art. 17.
71 Z pkt 63–70 niniejszego wyroku wynika zatem, że ograniczenie przewidziane w art. 17 dyrektywy 2016/680 respektuje treść prawa osoby, której dane dotyczą, do skutecznego środka prawnego przed sądem od decyzji organu nadzorczego o zakończeniu postępowania przewidzianego w tym przepisie, a także zasady konieczności i proporcjonalności, zgodnie z art. 52 ust. 1 karty.
72 W świetle całości powyższych rozważań należy stwierdzić, że analiza pytania drugiego nie wykazała, by istniał jakikolwiek czynnik mogący podważać ważność art. 17 ust. 3 dyrektywy 2016/680.
W przedmiocie kosztów
73 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (piąta izba) orzeka, co następuje:
1) Artykuł 17 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW w związku z art. 46 ust. 1 lit. g), art. 47 ust. 1 i 2 oraz art. 53 ust. 1 tej dyrektywy, a także z art. 8 ust. 3 i art. 47 Karty praw podstawowych Unii Europejskiej,
należy interpretować w ten sposób, że:
jeżeli prawa danej osoby były wykonywane na podstawie wspomnianego art. 17 za pośrednictwem właściwego organu nadzorczego i organ ten informuje wspomnianą osobę o wynikach przeprowadzonych weryfikacji, osobie tej musi przysługiwać skuteczny środek prawny przed sądem przeciw podjętej przez wspomniany organ decyzji o zakończeniu procesu weryfikacji.
2) Analiza pytania drugiego nie wykazała, by istniał jakikolwiek czynnik mogący podważać ważność art. 17 ust. 3 dyrektywy 2016/680.
Podpisy