WYROK TRYBUNAŁU (trzecia izba)
z dnia 11 stycznia 2024 r.(*)
Odesłanie prejudycjalne – Zbliżanie ustawodawstw – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych i swobodny przepływ takich danych (ogólne rozporządzenie o ochronie danych) – Rozporządzenie (UE) 2016/679 – Artykuł 4 pkt 7 – Pojęcie „administratora” – Dziennik urzędowy państwa członkowskiego – Obowiązek publikowania w niezmienionej postaci aktów spółek sporządzonych przez spółki lub ich przedstawicieli prawnych – Artykuł 5 ust. 2 – Kolejne przetwarzanie przez kilka odrębnych osób lub podmiotów danych osobowych zawartych w takich aktach – Ustalenie odpowiedzialności
W sprawie C‑231/22
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez cour d’appel de Bruxelles (sąd apelacyjny w Brukseli, Belgia) postanowieniem z dnia 23 lutego 2022 r., które wpłynęło do Trybunału w dniu 1 kwietnia 2022 r., w postępowaniu:
État belge
przeciwko
Autorité de protection des données,
przy udziale:
LM,
TRYBUNAŁ (trzecia izba),
w składzie: K. Jürimäe, prezes izby, N. Piçarra, M. Safjan (sprawozdawca), N. Jääskinen i M. Gavalec, sędziowie,
rzecznik generalny: L. Medina,
sekretarz: C. Strömholm, administratorka,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 23 marca 2023 r.,
rozważywszy uwagi, które przedstawili:
– w imieniu l’Autorité de protection des données – F. Biebuyck, P. Van Muylder, avocates, i E. Kairis, advocaat,
– w imieniu rządu belgijskiego – P. Cottin, J.-C. Halleux i C. Pochet, w charakterze pełnomocników, których wspierali S. Kaisergruber i P. Schaffner, avocats,
– w imieniu rządu węgierskiego – Zs. Biró-Tóth i M. Z. Fehér, w charakterze pełnomocników,
– w imieniu Komisji Europejskiej – A. Bouchagiar, H. Kranenborg i A.-C. Simon, w charakterze pełnomocników,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 8 czerwca 2023 r.,
wydaje następujący
Wyrok
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 4 pkt 7 i art. 5 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2, zwanego dalej „RODO”).
2 Wniosek ten został złożony w ramach sporu pomiędzy État belge (państwem belgijskim) a Autorité de protection des données (organem ochrony danych, Belgia, zwanym dalej „OOD”), który jest organem nadzorczym ustanowionym w Belgii na podstawie art. 51 RODO – w przedmiocie decyzji, w której organ ten nakazał organowi zarządzającemu Moniteur belge – dziennikiem urzędowym zapewniającym w tym państwie członkowskim sporządzanie i rozpowszechnianie szerokiego zakresu publikacji urzędowych i publicznych w formie papierowej i elektronicznej – zastosowanie się do wykonania przez osobę fizyczną prawa do usunięcia szeregu danych osobowych zawartych w akcie opublikowanym w tym dzienniku urzędowym.
Ramy prawne
Prawo Unii
3 Artykuł 4 pkt 2 i 7 RODO stanowi:
„Na użytek niniejszego rozporządzenia:
[…]
2) »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
[…]
7) »administrator« oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
[…]”.
4 Artykuł 5 RODO brzmi:
„1. Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (»zgodność z prawem, rzetelność i przejrzystość«);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami (»ograniczenie celu«);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (»minimalizacja danych«);
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (»prawidłowość«);
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (»ograniczenie przechowywania«);
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (»integralność i poufność«).
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.
5 Artykuł 17 RODO ma następujące brzmienie:
„1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób [były] przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
[…]
3. Ustęp[y] 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
[…]
b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
[…]
d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania;
[…]”.
6 Zgodnie z art. 26 RODO:
„1. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą.
2. Uzgodnienia, o których mowa w ust. 1, należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą.
3. Niezależnie od uzgodnień, o których mowa w ust. 1, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów”.
7 Artykuł 51 RODO stanowi w szczególności, że państwa członkowskie powinny ustanowić jeden lub kilka niezależnych organów publicznych odpowiedzialnych za monitorowanie stosowania tego rozporządzenia.
Prawo belgijskie
8 Artykuł 472 loi-programme du 24 décembre 2002 (ustawy programowej z dnia 24 grudnia 2002 r., Moniteur belge z dnia 31 grudnia 2002 r., s. 58686) stanowi:
„Moniteur belge jest publikatorem urzędowym wydawanym przez dyrekcję Moniteur belge, który zawiera wszystkie teksty, których publikacja w Moniteur belge jest obowiązkowa”.
9 Artykuł 474 tej ustawy programowej wskazuje:
„Publikacji w Moniteur belge przez dyrekcję Moniteur belge dokonuje się w czterech egzemplarzach drukowanych na papierze.
[…]
Jeden egzemplarz jest przechowywany elektronicznie. Ustalenia w przedmiocie przechowywania elektronicznego określa król […]”.
10 Artykuł 475 wspomnianej ustawy programowej jest sformułowany następująco:
„W pozostałym zakresie publiczne udostępnianie informacji odbywa się za pośrednictwem strony internetowej dyrekcji Moniteur belge.
Publikacje udostępniane na tej stronie internetowej są dokładnymi reprodukcjami w formacie elektronicznym egzemplarzy papierowych, o których mowa w art. 474”.
11 Zgodnie z art. 475 bis tej samej ustawy programowej:
„Za pośrednictwem bezpłatnej infolinii każdy obywatel może uzyskać od Moniteur belge, po cenie pokrywającej koszty, kopię aktów i dokumentów publikowanych w Moniteur belge. Ta służba jest również odpowiedzialna za świadczenie na rzecz obywateli usługi pomocy w wyszukiwaniu dokumentów”.
12 Artykuł 475 ter ustawy programowej z dnia 24 grudnia 2002 r. przewiduje:
„W celu zapewnienia możliwie jak najszerszego rozpowszechnienia i dostępu do informacji zawartych w Moniteur belge podejmuje się, w drodze dekretu królewskiego poddanego pod obrady rady ministrów, inne środki towarzyszące”.
Postępowanie główne i pytania prejudycjalne
13 Osoba fizyczna w Belgii posiadała większość udziałów w prywatnej spółce z ograniczoną odpowiedzialnością. Ponieważ wspólnicy tej spółki postanowili dokonać obniżenia jej kapitału, statut tej spółki został zmieniony uchwałą jej nadzwyczajnego zgromadzenia z dnia 23 stycznia 2019 r.
14 Zgodnie z code des sociétés (kodeksem spółek), w brzmieniu nadanym ustawą z dnia 7 maja 1999 r. (Moniteur belge z dnia 6 sierpnia 1999 r., s. 29440), notariusz tej osoby fizycznej sporządził wyciąg z tej uchwały, a następnie przekazał go do sekretariatu właściwego sądu, czyli sądu gospodarczego, w którego okręgu spółka ta ma swoją siedzibę. Na mocy właściwych przepisów prawnych sąd przekazał ten wyciąg do publikacji dyrekcji Moniteur belge.
15 W dniu 12 lutego 2019 r. wspomniany wyciąg został opublikowany w niezmienionej postaci, czyli bez kontroli jego treści, w załącznikach do Moniteur belge zgodnie z mającymi zastosowanie przepisami prawa.
16 Zawiera on w szczególności uchwałę o obniżeniu kapitału spółki, początkową kwotę tego kapitału, kwotę przedmiotowego obniżenia, a także nową kwotę kapitału zakładowego oraz umowę spółki w nowym brzmieniu. Zawiera on również fragment, w którym wskazane są nazwiska dwóch wspólników tej spółki, w tym nazwisko osoby fizycznej, o której mowa w pkt 13 niniejszego wyroku, zwrócone im kwoty oraz ich numery rachunku bankowego (zwany dalej „fragmentem rozpatrywanym w postępowaniu głównym”).
17 Stwierdziwszy, że jej notariusz popełnił błąd, włączając do wyciągu, o którym mowa w pkt 14 niniejszego wyroku, fragment rozpatrywany w postępowaniu głównym, mimo że nie było to wymagane prawem, ta osoba fizyczna, za pośrednictwem tego notariusza i inspektora ochrony danych tego ostatniego, podjęła kroki w celu doprowadzenia do usunięcia tego fragmentu zgodnie z jej prawem do usunięcia danych przewidzianym w art. 17 RODO.
18 Service public fédéral Justice (federalna służba publiczna wymiaru sprawiedliwości, zwana dalej „SPF Justice”), do której należy dyrekcja Moniteur belge, odmówiła, konkretnie decyzją z dnia 10 kwietnia 2019 r., uwzględnienia takiego wniosku o usunięcie danych.
19 W dniu 21 stycznia 2020 r. wspomniana osoba fizyczna złożyła skargę przeciwko SPF Justice do OOD w celu stwierdzenia, że ów wniosek o usunięcie danych jest zasadny i że spełnione zostały warunki wykonania prawa do usunięcia danych przewidziane w art. 17 ust. 1 RODO.
20 Decyzją z dnia 23 marca 2021 r. OOD skierował do SPF Justice „upomnienie”, wzywając jednocześnie tę służbę do uwzględnienia wspomnianego wniosku o usunięcie bez zbędnej zwłoki, nie później niż w ciągu 30 dni od doręczenia tej decyzji.
21 W dniu 22 kwietnia 2021 r. État belge (państwo belgijskie) zwróciło się do cour d’appel de Bruxelles (sądu apelacyjnego w Brukseli, Belgia), który jest sądem odsyłającym, o uchylenie wspomnianej decyzji.
22 Sąd ten wskazuje, że strony spierają się, w jaki sposób w sprawie w postępowaniu głównym należy interpretować pojęcie „administratora” zawarte w art. 4 pkt 7 RODO, ponieważ dane osobowe zawarte we fragmencie rozpatrywanym w postępowaniu głównym, których publikacja nie była wymagana przez prawo, były przetwarzane przez kilku „kolejnych” potencjalnych administratorów. Są nimi, po pierwsze, notariusz, który sporządził wyciąg zawierający fragment rozpatrywany w postępowaniu głównym, omyłkowo wprowadzając do niego te dane, po drugie, sekretarz sądu, w którym ów wyciąg został następnie złożony, zanim został przekazany do Moniteur belge w celu publikacji, i po trzecie, Moniteur belge, który zgodnie z przepisami prawa regulującymi jego status i zadania opublikował go w niezmienionej postaci, to znaczy bez uprawnienia do kontroli i zmiany, po otrzymaniu go od tego sądu.
23 W tym kontekście sąd odsyłający zastanawia się, czy Moniteur belge można uznać za „administratora” w rozumieniu art. 4 pkt 7 RODO. Na wypadek udzielenia odpowiedzi twierdzącej i zauważając, że strony w postępowaniu głównym nie powołują się na wspólną odpowiedzialność przewidzianą w art. 26 RODO, sąd ten dąży również do ustalenia, czy Moniteur belge należy uznać na podstawie art. 5 ust. 2 tego rozporządzenia za wyłącznie odpowiedzialny za przestrzeganie zasad ustanowionych w jego art. 5 ust. 1, czy też odpowiedzialność ta spoczywa również kumulatywnie na podmiotach publicznych, które wcześniej przetwarzały dane zawarte we fragmencie rozpatrywanym w postępowaniu głównym, a mianowicie na notariuszu, który sporządził wyciąg zawierający ten fragment, oraz na sądzie gospodarczym, na którego obszarze właściwości dana prywatna spółka z ograniczoną odpowiedzialnością ma swoją siedzibę.
24 W tej sytuacji cour d’appel de Bruxelles (sąd apelacyjny w Brukseli) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy art. 4 [pkt] 7 [RODO] należy interpretować w ten sposób, że dziennik urzędowy państwa członkowskiego – któremu powierzono pełnienie misji publicznej w zakresie publikowania i archiwizowania dokumentów urzędowych i który zgodnie z mającymi zastosowanie przepisami krajowymi jest odpowiedzialny za publikację aktów i dokumentów urzędowych, których publikacja jest zlecana przez podmioty publiczne będące osobami trzecimi, w formie przekazanej przez te podmioty po wcześniejszym przetworzeniu przez nie danych osobowych zawartych w tych aktach i dokumentach, przy czym ustawodawca krajowy nie przyznał mu żadnego uznania co do treści dokumentów, które mają być opublikowane, ani co do celu i środków publikacji – ma status administratora?
2) W przypadku odpowiedzi twierdzącej na pytanie pierwsze: czy art. 5 ust. 2 [RODO] należy interpretować w ten sposób, że dany dziennik urzędowy powinien być wyłącznie odpowiedzialny za wykonanie obowiązków ciążących na administratorze na podstawie tego przepisu, z wyłączeniem podmiotów publicznych będących osobami trzecimi, które wcześniej przetwarzały dane zawarte w aktach i dokumentach urzędowych, których publikację zlecają, czy też obowiązki te spoczywają kumulatywnie na każdym z kolejnych administratorów?”.
W przedmiocie pytań prejudycjalnych
W przedmiocie pytania pierwszego
25 Poprzez pytanie pierwsze sąd odsyłający dąży zasadniczo do ustalenia, czy art. 4 pkt 7 RODO należy interpretować w ten sposób, że jednostka lub podmiot prowadzące dziennik urzędowy państwa członkowskiego, które na mocy ustawodawstwa tego państwa są w szczególności zobowiązane do publikowania w niezmienionej postaci aktów i dokumentów urzędowych sporządzonych przez osoby trzecie na ich własną odpowiedzialność z poszanowaniem obowiązujących przepisów, a następnie przekazanych organowi sądowemu, który kieruje je do nich do publikacji, mogą zostać uznane za „administratora” danych osobowych zawartych w tych aktach i dokumentach w rozumieniu tego przepisu.
26 Na wstępie należy wyjaśnić, że pojęcie „administratora”, o którym mowa w art. 4 pkt 7 RODO, zakłada istnienie „przetwarzania” danych osobowych w rozumieniu art. 4 pkt 2 tego rozporządzenia. W niniejszej sprawie z postanowienia odsyłającego wynika, że dane osobowe zawarte we fragmencie rozpatrywanym w postępowaniu głównym były przedmiotem przetwarzania przez Moniteur belge. Nawet jeśli sąd odsyłający nie przedstawia szczegółowo tego przetwarzania, ze zgodnych uwag na piśmie OOD i rządu belgijskiego wynika, że dane te zostały co najmniej zebrane, utrwalone, przechowane, ujawnione poprzez przesłanie i rozpowszechnione przez Moniteur belge, a takie operacje stanowią „przetwarzanie” w rozumieniu art. 4 pkt 2 wspomnianego rozporządzenia.
27 Z zastrzeżeniem tego wstępnego wyjaśnienia należy przypomnieć, że wspomniany art. 4 pkt 7 RODO definiuje „administratora” jako osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Przepis ten stanowi również, że jeżeli cele i sposoby tego przetwarzania są określone w szczególności przez prawo państwa członkowskiego, to również w tym prawie może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczenia.
28 W tym względzie należy przypomnieć, że zgodnie z orzecznictwem Trybunału przepis ten ma na celu zapewnienie, poprzez szeroką definicję pojęcia „administratora”, skutecznej i pełnej ochrony osobom, których dane dotyczą (zob. podobnie wyroki: z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, pkt 29; z dnia 5 grudnia 2023 r., Deutsche Wohnen, C‑807/21, EU:C:2023:950, pkt 40 i przytoczone tam orzecznictwo).
29 Biorąc pod uwagę brzmienie art. 4 pkt 7 RODO, interpretowanego w świetle tego celu, okazuje się, że aby ustalić, czy daną osobę lub podmiot należy uznać za „administratora” w rozumieniu tego przepisu, należy zbadać, czy ta osoba lub ten podmiot samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania, czy też są one określone w prawie krajowym. Jeżeli takiego określenia dokonuje prawo krajowe, należy wówczas zbadać, czy prawo to wskazuje administratora czy też przewiduje konkretne kryteria jego wyznaczania.
30 W tym względzie należy uściślić, że w świetle szerokiej definicji pojęcia „administratora” w rozumieniu art. 4 pkt 7 RODO określenie celów i sposobów przetwarzania oraz, w stosownym przypadku, wyznaczenie tego administratora w prawie krajowym może być nie tylko wyraźne, ale również dorozumiane. W tym ostatnim przypadku wymagane jest jednak, aby określenie to wynikało w sposób wystarczająco pewny z roli, misji i uprawnień przyznanych danej osobie lub danemu podmiotowi. Do osłabienia ochrony tych osób prowadziłoby bowiem, gdyby art. 4 pkt 7 RODO był interpretowany zawężająco, tak aby obejmował jedynie przypadki, w których cele i sposoby przetwarzania danych dokonywanego przez osobę, organ publiczny, jednostkę lub podmiot są wyraźnie określone w prawie krajowym, nawet jeśli te cele i sposoby wynikałyby zasadniczo z przepisów prawa regulujących działalność danego podmiotu.
31 W niniejszej sprawie, po pierwsze, sąd odsyłający wyjaśnia, że w sprawie w postępowaniu głównym nie wydaje się, aby Moniteur belge przysługiwało na mocy prawa krajowego uprawnienie do ustalania celów i sposobów dokonywanego przez niego przetwarzania danych, a pierwsze pytanie prejudycjalne zostało sformułowane w oparciu o to założenie. Ponadto ze zgodnych wyjaśnień OOD i rządu belgijskiego na rozprawie wynika, że organowi publicznemu zarządzającemu Moniteur belge, czyli SPF Justice, również nie wydaje się przysługiwać takie uprawnienie na mocy prawa krajowego.
32 Po drugie, z informacji zawartych w aktach sprawy, którymi dysponuje Trybunał, wynika, że dane osobowe zawarte w aktach i dokumentach przekazanych Moniteur belge do publikacji są zasadniczo zbierane, utrwalane, przechowywane i publikowane w niezmienionej postaci w celu oficjalnego poinformowania opinii publicznej o istnieniu tych aktów i dokumentów oraz w celu umożliwienia powołania się na nie wobec osób trzecich.
33 Ponadto z wyjaśnień sądu odsyłającego wynika, że przetwarzanie odbywa się głównie za pomocą środków zautomatyzowanych: w szczególności przedmiotowe dane są zwielokrotniane na egzemplarzach drukowanych na papierze, z których jeden jest przechowywany elektronicznie, egzemplarze papierowe są odtworzone w formacie elektronicznym na stronie internetowej Moniteur belge, a kopię można uzyskać za pośrednictwem infolinii, której zadaniem jest ponadto świadczenie obywatelom pomocy w poszukiwaniu dokumentów.
34 Z akt sprawy, którymi dysponuje Trybunał, wynika zatem, że prawo belgijskie określiło, przynajmniej w sposób dorozumiany, cele i sposoby przetwarzania danych osobowych przez Moniteur belge.
35 W tych okolicznościach należy zauważyć, że Moniteur belge jako jednostkę lub podmiot odpowiedzialny za przetwarzanie danych osobowych zawartych w jego publikacjach zgodnie z celami i sposobami przetwarzania określonymi w prawie belgijskim można uznać za „administratora” w rozumieniu art. 4 pkt 7 RODO.
36 Wniosku tego nie podważa okoliczność, że Moniteur belge, jako jednostka organizacyjna SPF Justice, nie posiada osobowości prawnej. Z jasnego brzmienia tego przepisu wynika bowiem, że administratorem danych może być nie tylko osoba fizyczna lub prawna, lecz również organ publiczny, jednostka lub podmiot, przy czym podmioty takie niekoniecznie muszą posiadać osobowość prawną w świetle prawa krajowego.
37 Podobnie okoliczność, że na mocy prawa krajowego Moniteur belge nie kontroluje, przed ich publikacją w tym dzienniku urzędowym, danych osobowych zawartych w aktach i dokumentach otrzymanych przez ów dziennik urzędowy, nie może mieć wpływu na kwestię, czy Moniteur belge można uznać za administratora.
38 O ile bowiem prawdą jest, że Moniteur belge musi opublikować dany dokument w niezmienionej postaci, o tyle tylko on sam wykonuje to zadanie, a następnie rozpowszechnia dany akt lub dokument. Z jednej strony publikacja takich aktów i dokumentów bez możliwości kontroli ani zmiany ich treści jest nierozerwalnie związana z celami i sposobami przetwarzania określonymi w prawie krajowym, ponieważ rola dziennika urzędowego takiego jak Moniteur belge ogranicza się do poinformowania opinii publicznej o istnieniu tych aktów i dokumentów, które są przekazywane do tego dziennika urzędowego w postaci kopii zgodnie z obowiązującym prawem krajowym, tak aby można było się na nie powołać wobec osób trzecich. Z drugiej strony sprzeczne z celem art. 4 pkt 7 RODO, o którym mowa w pkt 28 niniejszego wyroku, byłoby wykluczenie z pojęcia „administratora” dziennika urzędowego państwa członkowskiego ze względu na to, że ten ostatni nie sprawuje kontroli nad danymi osobowymi zawartymi w jego publikacjach (zob. analogicznie wyrok z dnia 13 maja 2014 r., Google Spain i Google, C‑131/12, EU:C:2014:317, pkt 34).
39 W świetle powyższych rozważań na pytanie pierwsze należy odpowiedzieć, iż art. 4 pkt 7 RODO należy interpretować w ten sposób, że jednostka lub podmiot prowadzące dziennik urzędowy państwa członkowskiego, które na mocy ustawodawstwa tego państwa są w szczególności zobowiązane do publikowania w niezmienionej postaci aktów i dokumentów urzędowych sporządzonych przez osoby trzecie na ich własną odpowiedzialność z poszanowaniem obowiązujących przepisów, a następnie przekazanych organowi sądowemu, który kieruje je do nich do publikacji, mogą – mimo że nie posiadają one osobowości prawnej – zostać uznane za „administratora” danych osobowych zawartych w tych aktach i dokumentach, jeżeli odnośne prawo krajowe określa cele i sposoby przetwarzania danych osobowych przez ten dziennik urzędowy.
W przedmiocie pytania drugiego
40 Poprzez pytanie drugie sąd odsyłający dąży zasadniczo do ustalenia, czy art. 5 ust. 2 RODO należy interpretować w ten sposób, że jednostkę lub podmiot prowadzące dziennik urzędowy państwa członkowskiego, zakwalifikowane jako „administrator” w rozumieniu art. 4 pkt 7 RODO, należy uznać za wyłącznie odpowiedzialne za przestrzeganie zasad, o których mowa w art. 5 ust. 1 RODO, czy też przestrzeganie to należy w sposób kumulatywny do tej jednostki lub podmiotu i podmiotów publicznych będących osobami trzecimi, które wcześniej przetwarzały dane osobowe zawarte w aktach i dokumentach opublikowanych przez ten dziennik urzędowy.
41 Przede wszystkim należy przypomnieć, że zgodnie z art. 5 ust. 2 RODO administrator jest odpowiedzialny za przestrzeganie zasad przewidzianych w formie obowiązków w ust. 1 tego artykułu i musi być w stanie wykazać, że zasady te są przestrzegane.
42 W niniejszej sprawie z akt, którymi dysponuje Trybunał, wynika, że powierzone Moniteur belge przetwarzanie danych osobowych rozpatrywanych w postępowaniu głównym następuje po przetwarzaniu dokonywanym przez notariusza i sekretariat właściwego sądu i pod względem technicznym jest odmienne od przetwarzania dokonywanego przez te dwa podmioty, ponieważ ma względem niego charakter uzupełniający. Czynności dokonywane przez Moniteur belge są bowiem powierzone mu przez ustawodawstwo krajowe i wiążą się w szczególności z cyfrowym przekształceniem danych zawartych w przedkładanych mu aktach lub wyciągach z aktów, ich publikacją, udostępnianiem ich szerokiej publiczności oraz ich przechowywaniem.
43 W związku z tym należy uznać, że na podstawie art. 5 ust. 2 RODO Moniteur belge jest odpowiedzialny za przestrzeganie zasad, o których mowa w ust. 1 tego artykułu, w odniesieniu do przetwarzania, do którego jest on zobowiązany na mocy prawa krajowego, a tym samym wszystkich obowiązków nałożonych na administratora w RODO.
44 Następnie, biorąc pod uwagę wątpliwości sądu odsyłającego dotyczące kwestii, czy taki dziennik urzędowy jest jedynym administratorem odpowiedzialnym za takie przetwarzanie, należy przypomnieć, że – jak wynika z brzmienia art. 4 pkt 7 RODO – przepis ten przewiduje nie tylko, że cele i sposoby przetwarzania danych osobowych mogą być ustalane wspólnie przez kilka osób jako administratorów, lecz również, że samo prawo krajowe może określać te cele i sposoby oraz wyznaczać administratora lub konkretne kryteria jego wyznaczenia.
45 Tak więc w ramach łańcucha przetwarzania dokonywanego przez różne osoby lub podmioty i dotyczącego tych samych danych osobowych prawo krajowe może określać cele i sposoby wszystkich operacji przetwarzania dokonywanych kolejno przez te różne osoby lub podmioty w taki sposób, aby były one wspólnie uznawane za administratorów.
46 Ponadto należy przypomnieć, że art. 26 ust. 1 RODO przewiduje wspólną odpowiedzialność, gdy dwaj administratorzy lub większa ich liczba wspólnie ustalają cele i sposoby przetwarzania danych osobowych. Ten sam przepis stanowi również, że współadministratorzy w przejrzysty sposób określają w drodze wspólnych uzgodnień odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania wszystkich obowiązków wynikających z RODO, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają.
47 Z przepisu tego wynika zatem, że odpowiednie obowiązki współadministratorów przetwarzania danych osobowych niekoniecznie zależą od istnienia uzgodnień między różnymi administratorami (zob. podobnie wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, pkt 44, 45), ale mogą wynikać z prawa krajowego.
48 Ponadto Trybunał orzekł z jednej strony, że wystarczy, by jedna osoba wpływała dla własnych celów na przetwarzanie danych osobowych i z tego względu brała udział w ustalaniu celów i sposobów tego przetwarzania, aby mogła zostać uznana za współadministratora, a po drugie, że wspólna odpowiedzialność kilku podmiotów za to samo przetwarzanie nie zakłada, że każdy z nich ma dostęp do odnośnych danych osobowych (zob. podobnie wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, pkt 40–43 i przytoczone tam orzecznictwo).
49 Z pkt 44–48 niniejszego wyroku wynika, że zgodnie z art. 26 ust. 1 w związku z art. 4 pkt 7 RODO wspólną odpowiedzialność kilku podmiotów w łańcuchu przetwarzania tych samych danych osobowych można ustanowić w prawie krajowym, o ile różne operacje przetwarzania są powiązane celami i sposobami określonymi w tym prawie i o ile prawo to określa odpowiednie obowiązki każdego ze współadministratorów.
50 Należy uściślić, że takie określenie celów i środków łączących różne operacje przetwarzania dokonywane przez kilku uczestników łańcucha, a także odpowiednich obowiązków może być dokonywane nie tylko w sposób bezpośredni, lecz również w sposób pośredni przez prawo krajowe, pod warunkiem że w tym ostatnim przypadku można je wywieść w sposób wystarczająco wyraźny z przepisów prawa odnoszących się do danych osób lub podmiotów, jak również regulujących przetwarzanie danych osobowych, którego dokonują one w ramach określonego przez to prawo łańcucha przetwarzania.
51 Wreszcie na wszelki wypadek należy wyjaśnić, że w przypadku gdyby sąd odsyłający doszedł do wniosku, iż jednostka lub podmiot prowadzące Moniteur belge nie są samodzielnie, lecz wspólnie z innymi odpowiedzialne za przestrzeganie zasad, o których mowa w art. 5 ust. 1 RODO w odniesieniu do danych zawartych we fragmencie rozpatrywanym w postępowaniu głównym, taki wniosek nie przesądzałby w niczym kwestii, czy w świetle w szczególności wyjątków, o których mowa w art. 17 ust. 3 lit. b) i d) RODO, należy uwzględnić wniosek o usunięcie danych złożony przez osobę fizyczną, o której mowa w pkt 13 niniejszego wyroku.
52 W świetle powyższych rozważań na pytanie drugie należy odpowiedzieć, iż art. 5 ust. 2 RODO w związku z jego art. 4 pkt 7 i art. 26 ust. 1 należy interpretować w ten sposób, że jednostka lub podmiot prowadzące dziennik urzędowy państwa członkowskiego, uznane za „administratora” w rozumieniu art. 4 pkt 7 tego rozporządzenia, są wyłącznie odpowiedzialne za przestrzeganie zasad, o których mowa w jego art. 5 ust. 1, w odniesieniu do operacji przetwarzania danych osobowych, do których wykonywania są one zobowiązane na mocy prawa krajowego, chyba że z prawa tego wynika wspólna odpowiedzialność z innymi podmiotami w odniesieniu do tych operacji.
W przedmiocie kosztów
53 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (trzecia izba) orzeka, co następuje:
1) Artykuł 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)
należy interpretować w ten sposób, że:
jednostka lub podmiot prowadzące dziennik urzędowy państwa członkowskiego, które na mocy ustawodawstwa tego państwa są w szczególności zobowiązane do publikowania w niezmienionej postaci aktów i dokumentów urzędowych sporządzonych przez osoby trzecie na ich własną odpowiedzialność z poszanowaniem obowiązujących przepisów, a następnie przekazanych organowi sądowemu, który kieruje je do nich do publikacji, mogą – mimo że nie posiadają one osobowości prawnej – zostać uznane za „administratora” danych osobowych zawartych w tych aktach i dokumentach, jeżeli odnośne prawo krajowe określa cele i sposoby przetwarzania danych osobowych przez ten dziennik urzędowy.
2) Artykuł 5 ust. 2 w związku z art. 4 pkt 7 i art. 26 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że:
jednostka lub podmiot prowadzące dziennik urzędowy państwa członkowskiego, uznane za „administratora” w rozumieniu art. 4 pkt 7 tego rozporządzenia, są wyłącznie odpowiedzialne za przestrzeganie zasad, o których mowa w art. 5 ust. 1 tegoż rozporządzenia, w odniesieniu do operacji przetwarzania danych osobowych, do których wykonywania są one zobowiązane na mocy prawa krajowego, chyba że z prawa tego wynika wspólna odpowiedzialność z innymi podmiotami w odniesieniu do tych operacji.
Podpisy