Sprawa C‑439/19
B
(wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Latvijas Republikas Satversmes tiesa)
Wyrok Trybunału (wielka izba) z dnia 22 czerwca 2021 r.
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuły 5, 6 i 10 – Przepisy krajowe przewidujące publiczny dostęp do danych osobowych dotyczących punktów karnych za wykroczenia drogowe – Legalność – Pojęcie „danych osobowych dotyczących wyroków skazujących i naruszeń prawa” – Ujawnienie w celu poprawy bezpieczeństwa na drogach – Prawo publicznego dostępu do dokumentów urzędowych – Wolność informacji – Pogodzenie z prawami podstawowymi do poszanowania życia prywatnego i ochrony danych osobowych – Ponowne wykorzystywanie danych – Artykuł 267 TFUE – Skutki w czasie orzeczenia prejudycjalnego – Przysługująca sądowi konstytucyjnemu państwa członkowskiego możliwość utrzymania w mocy skutków prawnych ustawodawstwa krajowego niezgodnego z prawem Unii – Zasady pierwszeństwa prawa Unii i pewności prawa
1. Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Zakres stosowania – Odstępstwa – Przetwarzanie danych w ramach działalności nieobjętej zakresem prawa Unii – Działalność służąca zapewnieniu bezpieczeństwa narodowego lub należąca do tej kategorii – Pojęcie – Działalność służąca poprawie bezpieczeństwa na drogach – Wyłączenie
[rozporządzenie Parlamentu Europejskiego i Rady 2016/679, motyw 16, art. 2 ust. 2 lit. a)]
(zob. pkt 61–68)
2. Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Zakres stosowania – Odstępstwa – Przetwarzanie danych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar – Pojęcie właściwego organu – Konieczność związku z ochroną danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych oraz współpracy policyjnej – Krajowy organ publiczny udostępniający publicznie dane osobowe dotyczące punktów karnych za wykroczenia drogowe – Wyłączenie
[rozporządzenie Parlamentu Europejskiego i Rady 2016/679, motyw 19, art. 2 ust. 2 lit. d); dyrektywa Parlamentu Europejskiego i Rady 2016/680, motywy 10, 11, art. 3 ust. 7]
(zob. pkt 69–72)
3. Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa – Pojęcie danych dotyczących naruszeń prawa – Dane dotyczące punktów karnych – Włączenie – Pojęcie naruszeń prawa – Charakter karnoprawny – Kryteria oceny – Wykroczenia drogowe prowadzące do nałożenia punktów karnych – Włączenie
(rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 10; dyrektywa Parlamentu Europejskiego i Rady 2016/46, motyw 13)
(zob. pkt 77–93; pkt 1 sentencji)
4. Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Warunki legalności przetwarzania danych osobowych – Przetwarzanie konieczne dla realizacji zadania wykonywanego w interesie publicznym lub do wykonywania władzy publicznej – Przepisy krajowe nakładające obowiązek publicznego dostępu do danych osobowych dotyczących punktów karnych i zezwalające na przekazanie tych danych podmiotom gospodarczym do ponownego wykorzystania – Cel interesu ogólnego w postaci poprawy bezpieczeństwa na drogach – Brak koniecznego charakteru tego przetwarzania danych osobowych – Niedopuszczalność – Prawo publicznego dostępu do dokumentów urzędowych i wolność informacji – Brak wpływu – Pierwszeństwo praw podstawowych do poszanowania życia prywatnego i ochrony danych osobowych
[rozporządzenie Parlamentu Europejskiego i Rady 2016/679, motywy 39, 154, art. 5 ust. 1, art. 6 ust. 1 lit. e), art. 10, 85, 86]
(zob. pkt 99, 106, 108–113, 120–122, 126, 129; pkt 2, 3 sentencji)
5. Pytania prejudycjalne – Wykładnia – Skutki w czasie wyroków dokonujących wykładni – Skutek wsteczny – Ograniczenie przez Trybunał – Zasady pierwszeństwa prawa Unii i pewności prawa – Przysługująca sądowi konstytucyjnemu państwa członkowskiego możliwość utrzymania w mocy skutków prawnych ustawodawstwa krajowego uznanego za niezgodne z prawem Unii do chwili ogłoszenia jego ostatecznego wyroku – Brak
(art. 267 TFUE)
(zob. pkt 132–137; pkt 4 sentencji)
Streszczenie
Prawo Unii dotyczące ochrony danych sprzeciwia się przepisom łotewskim nakładającym na organ odpowiedzialny za bezpieczeństwo na drogach obowiązek podawania do publicznej wiadomości danych dotyczących punktów karnych nałożonych na kierowców za wykroczenia drogowe
Konieczność tego systemu dla zapewnienia zamierzonego celu, jakim jest poprawa bezpieczeństwa na drogach, nie została wykazana
B, osoba fizyczna, otrzymała punkty karne za jedno lub więcej wykroczeń drogowych. Te punkty karne zostały wpisane przez Ceļu satiksmes drošības direkcija (dyrekcję bezpieczeństwa drogowego, Łotwa) (zwaną dalej „CSDD”) do krajowego rejestru pojazdów i ich kierowców.
Zgodnie z łotewskimi przepisami dotyczącymi ruchu drogowego(1) informacje dotyczące punktów karnych nałożonych na kierowców pojazdów wpisanych do tego rejestru są publicznie dostępne i przekazywane przez CSDD wszystkim osobom, które się o to zwrócą, przy czym nie mają one obowiązku wykazywania szczególnego interesu w uzyskaniu tych informacji, w tym podmiotom gospodarczym w celu ponownego wykorzystania. Rozważając zgodność z prawem tych przepisów, B wniósł skargę konstytucyjną do Latvijas Republikas Satversmes tiesa (trybunału konstytucyjnego, Łotwa) w celu zbadania zgodności tych przepisów z prawem do poszanowania życia prywatnego.
Trybunał konstytucyjny uznał, że w ramach jego oceny tego prawa konstytucyjnego powinien uwzględnić ogólne rozporządzenie w sprawie ochrony danych (zwane dalej „RODO”)(2). W związku z tym sąd ten zwrócił się do Trybunału o wyjaśnienie zakresu kilku przepisów RODO w celu ustalenia zgodności łotewskich uregulowania dotyczącego ruchu drogowego z tym rozporządzeniem.
W wyroku wydanym w składzie wielkiej izby Trybunał orzekł, że RODO sprzeciwia się przepisom łotewskim. Stwierdził on, że konieczność udostępnienia danych osobowych dotyczących punktów karnych za wykroczenia drogowe, w szczególności w świetle celu poprawy bezpieczeństwa na drogach, na który powołuje się rząd łotewski, nie została wykazana. Ponadto zdaniem Trybunału ani prawo publicznego dostępu do dokumentów urzędowych, ani prawo do wolności informacji nie uzasadniają takiego uregulowania.
Ocena Trybunału
W pierwszej kolejności Trybunał orzekł, że przetwarzanie danych osobowych dotyczących punktów karnych stanowi „przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa”(3), w odniesieniu do którego RODO przewiduje zwiększoną ochronę ze względu na szczególną wrażliwość tych danych.
W tym kontekście zauważył on na wstępie, że informacje dotyczące punktów karnych są danymi osobowymi i że ich przekazywanie osobom trzecim przez CSDD stanowi przetwarzanie objęte przedmiotowym zakresem stosowania RODO. Ten zakres stosowania jest bowiem bardzo szeroki, a przetwarzanie to nie jest objęte wyjątkami od stosowania tego rozporządzenia.
Z jednej strony przetwarzanie to nie jest objęte wyjątkiem dotyczącym niestosowania RODO do przetwarzania dokonywanego w ramach działalności nieobjętej zakresem prawem Unii(4). Należy uznać, że jedynym celem tego wyjątku jest wyłączenie z zakresu stosowania tego rozporządzenia przetwarzania danych osobowych dokonywanego przez organy państwowe w ramach działalności mającej na celu ochronę bezpieczeństwa narodowego lub działalności, która może zostać zaliczona do tej samej kategorii. Działalność ta obejmuje w szczególności działalność mającą na celu ochronę podstawowych funkcji państwa i podstawowych interesów społeczeństwa. Tymczasem czynności związane z bezpieczeństwem na drogach nie realizują tego celu i nie można ich wobec tego zaliczyć do kategorii działań mających na celu ochronę bezpieczeństwa narodowego.
Z drugiej strony ujawnianie danych osobowych dotyczących punktów karnych również nie jest przetwarzaniem objętym wyjątkiem przewidującym niestosowanie RODO do przetwarzania danych osobowych dokonywanego przez organy właściwe w sprawach karnych(5). Trybunał stwierdził bowiem, że w ramach tego ujawniania CSDD nie może być uważany za taki „właściwy organ”(6).
W celu ustalenia, czy dostęp do danych osobowych dotyczących wykroczeń drogowych, takich jak punkty karne, stanowi przetwarzanie danych osobowych dotyczących „naruszeń prawa”, które korzystają ze zwiększonej ochrony, Trybunał stwierdził, opierając się w szczególności na genezie RODO, że pojęcie to odnosi się wyłącznie do przestępstw. Jednakże okoliczność, że w łotewskim systemie prawnym wykroczenia drogowe są kwalifikowane jako administracyjne, nie jest decydująca dla oceny, czy wykroczenia te wchodzą w zakres pojęcia „przestępstwa”, ponieważ chodzi tu o autonomiczne pojęcie prawa Unii, które wymaga w całej Unii autonomicznej i jednolitej wykładni. Przypomniawszy zatem trzy kryteria istotne dla oceny karnego charakteru czynu zabronionego, a mianowicie kwalifikację prawną czynu w prawie krajowym, charakter naruszenia i stopień surowości grożącej sankcji, Trybunał orzekł, że rozpatrywane wykroczenia drogowe wchodzą w zakres pojęcia „naruszenia prawa” w rozumieniu RODO. W odniesieniu do dwóch pierwszych kryteriów Trybunał stwierdził, że nawet jeśli wykroczenia nie są kwalifikowane jako „karne” w prawie krajowym, taki charakter może wynikać z charakteru wykroczenia, a w szczególności z represyjnego celu, jaki realizuje kara, do której może prowadzić wykroczenie. Tymczasem w niniejszej sprawie nałożenie punktów karnych za wykroczenia drogowe, podobnie jak inne sankcje, jakie może spowodować ich popełnienie, realizują między innymi taki cel represyjny. W odniesieniu do trzeciego kryterium Trybunał zauważył, że jedynie wykroczenia drogowe o określonej wadze pociągają za sobą nałożenie punktów karnych i że w związku z tym mogą one prowadzić do sankcji o określonej surowości. Ponadto nałożenie takich punktów zazwyczaj uzupełnia nałożoną sankcję, a kumulacja tych punktów pociąga za sobą skutki prawne, które mogą obejmować nawet zakaz kierowania pojazdami.
W drugiej kolejności Trybunał orzekł, że RODO sprzeciwia się przepisom łotewskim nakładającym na CSDD obowiązek podawania do publicznej wiadomości danych dotyczących punktów karnych nałożonych na kierowców pojazdów za wykroczenia drogowe, które jednak nie przewidują obowiązku wykazania przez osobę żądającą dostępu szczególnego interesu w ich uzyskaniu.
W tym kontekście Trybunał podkreślił, że poprawa bezpieczeństwa na drogach, o którym mowa w łotewskich przepisach, stanowi cel interesu ogólnego uznawany przez Unię i że w związku z tym państwa członkowskie mogą zakwalifikować bezpieczeństwo na drogach jako „zadanie realizowane w interesie publicznym”(7). Jednakże konieczność łotewskiego systemu przekazywania danych osobowych dotyczących punktów karnych dla osiągnięcia zamierzonego celu nie została wykazana. Z jednej strony bowiem ustawodawca łotewski dysponuje wieloma sposobami działania, które pozwoliłyby mu na osiągnięcie tego celu za pomocą innych środków, w mniejszym stopniu naruszających prawa podstawowe zainteresowanych osób. Z drugiej strony należy mieć na uwadze wrażliwość danych dotyczących punktów karnych oraz fakt, że ich publiczne udostępnianie może stanowić poważną ingerencję w prawa do poszanowania życia prywatnego i do ochrony danych osobowych, ponieważ może ono prowadzić do dezaprobaty społeczeństwa i do stygmatyzacji osoby, której dane dotyczą.
Ponadto Trybunał uznał, że biorąc pod uwagę wrażliwość tych danych i wagę tej ingerencji w te dwa prawa podstawowe, prawa te są nadrzędne zarówno wobec interesu publicznego w uzyskaniu dostępu do dokumentów urzędowych, takich jak krajowy rejestr pojazdów i ich kierowców, jak i wobec prawa do wolności informacji.
Po trzecie, z tych samych względów Trybunał orzekł, że RODO sprzeciwia się również przepisom łotewskim w zakresie, w jakim upoważniają one CSDD do przekazywania danych dotyczących punktów karnych nałożonych na kierowców pojazdów za wykroczenia drogowe podmiotom gospodarczym, tak aby te ostatnie mogły je ponownie wykorzystywać i ujawniać publicznie.
W czwartej i ostatniej kolejności Trybunał uściślił, że zasada pierwszeństwa prawa Unii sprzeciwia się temu, by sąd odsyłający, do którego wniesiono skargę na przepisy łotewskie uznane przez Trybunał za niezgodne z prawem Unii, postanowił utrzymać w mocy skutki prawne tych przepisów do dnia ogłoszenia swojego ostatecznego wyroku.