Language of document : ECLI:EU:C:2023:369

ROZSUDEK SOUDNÍHO DVORA (prvního senátu)

4. května 2023(*)

„Řízení o předběžné otázce – Ochrana osobních údajů – Nařízení (EU) 2016/679 – Právo subjektu údajů na přístup ke svým údajům, které jsou předmětem zpracování – Článek 15 odst. 3 – Poskytnutí kopie údajů – Pojem ‚kopie‘ – Pojem ‚informace‘ “

Ve věci C‑487/21,

jejímž předmětem je žádost o rozhodnutí o předběžné otázce na základě článku 267 SFEU podaná rozhodnutím Bundesverwaltungsgericht (Spolkový správní soud, Rakousko) ze dne 9. srpna 2021, došlým Soudnímu dvoru dne 9. srpna 2021, v řízení

F. F.

proti

Österreichische Datenschutzbehörde,

za účasti:

CRIF GmbH,

SOUDNÍ DVŮR (první senát),

ve složení: A. Arabadžev, předseda senátu, P. G. Xuereb, T. von Danwitz, A. Kumin a I. Ziemele (zpravodajka), soudci,

generální advokát: G. Pitruzzella,

za soudní kancelář: A. Calot Escobar, vedoucí

s přihlédnutím k písemné části řízení,

s ohledem na vyjádření, která předložili:

–        za F. F.: M. Schrems,

–        za Österreichische Datenschutzbehörde: A. Jelinek a M. Schmidl, jako zmocněnci,

–        za CRIF GmbH: L. Feiler a M. Raschhofer, Rechtsanwälte,

–        za rakouskou vládu: G. Kunnert, A. Posch a J. Schmoll, jako zmocněnci,

–        za českou vládu: O. Serdula, M. Smolek a J. Vláčil, jako zmocněnci,

–        za italskou vládu: G. Palmieri, jako zmocněnkyně, ve spolupráci s M. Russo, avvocato dello Stato,

–        za Evropskou komisi: A. Bouchagiar, M. Heller a H. Kranenborg, jako zmocněnci,

po vyslechnutí stanoviska generálního advokáta na jednání konaném dne 15. prosince 2022,

vydává tento

Rozsudek

1        Žádost o rozhodnutí o předběžné otázce se týká výkladu článku 15 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „GDPR“).

2        Tato žádost byla předložena v rámci sporu mezi F. F. na straně jedné a Österreichische Datenschutzbehörde (rakouský úřad pro ochranu údajů) (dále jen „DSB“) na straně druhé ve věci odmítnutí posledně uvedeného úřadu uložit společnosti CRIF GmbH povinnost předat F. F. kopii dokumentů a výpisů z databází obsahujících mimo jiné jeho zpracovávané osobní údaje.

 Právní rámec

3        Body 10, 11, 26, 58, 60 a 63 odůvodnění GDPR zní následovně:

„(10)      S cílem zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci Unie by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech. V celé Unii je třeba zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů […]

(11)      Účinná ochrana osobních údajů v celé Unii vyžaduje […] posílení a podrobné vymezení práv subjektů údajů a povinností těch, kdo osobní údaje zpracovávají a o jejich zpracování rozhodují […]

[…]

(26)      Zásady ochrany údajů by se měly uplatňovat na všechny informace týkající se identifikované nebo identifikovatelné fyzické osoby […] Při určování, zda je fyzická osoba identifikovatelná, by se mělo přihlédnout ke všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby […]

[…]

(58)      Zásada transparentnosti vyžaduje, aby všechny informace určené veřejnosti nebo subjektu údajů byly stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků […]

[…]

(60)      Zásady spravedlivého a transparentního zpracování vyžadují, aby byl subjekt údajů informován o probíhající operaci zpracování a jejích účelech. Správce by měl subjektu údajů poskytnout veškeré další informace nezbytné pro zajištění spravedlivého a transparentního zpracování, s přihlédnutím ke konkrétním okolnostem a kontextu, v němž jsou osobní údaje zpracovávány. […]

[…]

(63)      Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost. […] Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Je-li to možné, měl by mít správce možnost poskytnout dálkový přístup k bezpečnému systému, který by subjektu údajů umožnil přímý přístup k jeho osobním údajům. Tímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení. […]“

4        Článek 4 tohoto nařízení stanoví:

„Pro účely tohoto nařízení se rozumí:

1)      ‚osobními údaji‘ veškeré informace o identifikované nebo identifikovatelné fyzické osobě […]; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

2)      ‚zpracováním‘ jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů […];

[…]“

5        Článek 12 uvedeného nařízení, nadepsaný „Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů“, stanoví:

„1.      Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 a učinil veškerá sdělení podle článků 15 až 22 a 34 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.

[…]

3.      Správce poskytne subjektu údajů informace o opatřeních přijatých na žádost podle článků 15 až 22, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. […] Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.

[…]“

6        Článek 15 GDPR, nadepsaný „Právo subjektu údajů na přístup“, stanoví:

„1.      Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

a)      účely zpracování;

b)      kategorie dotčených osobních údajů;

c)      příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

d)      plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

e)      existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování;

f)      právo podat stížnost u dozorového úřadu;

g)      veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;

h)      skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

2.      Pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o vhodných zárukách podle článku 46, které se vztahují na předání.

3.      Správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.

4.      Právem získat kopii uvedenou v odstavci 3 nesmějí být nepříznivě dotčena práva a svobody jiných osob.“

7        Článek 16 tohoto nařízení, nadepsaný „Právo na opravu“, stanoví:

„Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.“

8        Článek 17 uvedeného nařízení, nadepsaný „Právo na výmaz (‚právo být zapomenut‘)“, v odstavci 1 stanoví:

„Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat […]

[…]“

 Spor v původním řízení a předběžné otázky

9        Společnost CRIF je obchodní poradenská agentura, která na žádost svých klientů poskytuje informace o solventnosti třetích osob. Za tímto účelem zpracovávala osobní údaje žalobce v původním řízení.

10      Posledně uvedený dne 20. prosince 2018 požádal CRIF na základě článku 15 GDPR o přístup k osobním údajům, které se ho týkají. Kromě toho požádal, aby mu byly „ve standardním technickém formátu“ poskytnuty kopie dokumentů, a sice e-mailů a výpisů z databází, které obsahují mimo jiné jeho údaje.

11      V odpovědi na tuto žádost společnost CRIF zaslala žalobci v původním řízení souhrnný seznam jeho zpracovávaných osobních údajů.

12      Vzhledem k tomu, že žalobce v původním řízení měl za to, že mu společnost CRIF měla zaslat kopii všech dokumentů obsahujících jeho údaje, jako jsou e-maily a výpisy z databází, podal stížnost k DSB.

13      Rozhodnutím ze dne 11. září 2019 DSB tuto stížnost zamítl s tím, že společnost CRIF neporušila právo žalobce v původním řízení na přístup k osobním údajům.

14      Předkládající soud, ke kterému žalobce v původním řízení podal žalobu proti tomuto rozhodnutí, si klade otázku ohledně rozsahu působnosti čl. 15 odst. 3 první věty GDPR. Klade si zejména otázku, zda je povinnost stanovená tímto ustanovením poskytnout „kopii“ osobních údajů splněna, pokud správce předá osobní údaje ve formě souhrnné tabulky, nebo zda tato povinnost zahrnuje rovněž předání výpisů z dokumentů, či dokonce celých dokumentů, jakož i výpisů z databází, do kterých byly tyto údaje dále zkopírovány.

15      Předkládající soud si konkrétně klade otázku, zda čl. 15 odst. 3 první věta GDPR vymezuje pouze formu, v níž musí být zaručeno právo na přístup k informacím uvedeným v čl. 15 odst. 1 tohoto nařízení, nebo zda toto prvně uvedené ustanovení zakotvuje samostatné právo subjektu údajů na přístup k informacím týkajícím se kontextu, v němž jsou údaje tohoto subjektu zpracovávány, a to v podobě kopií výpisů z dokumentů, nebo dokonce celých dokumentů či výpisů z databází obsahujících mimo jiné tyto údaje.

16      Předkládající soud si rovněž klade otázku, zda pojem „informace“ uvedený v čl. 15 odst. 3 třetí větě GDPR zahrnuje rovněž informace uvedené v čl. 15 odst. 1 písm. a) až h) tohoto nařízení, nebo dokonce i další informace, jako jsou metadata spojená s těmito údaji, nebo zda zahrnuje pouze „zpracovávané osobní údaje“ uvedené v čl. 15 odst. 3 první větě uvedeného nařízení.

17      Za těchto podmínek se Bundesverwaltungsgericht (Spolkový správní soud, Rakousko) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

„1)      Musí být výraz ‚kopie‘ uvedený v čl. 15 odst. 3 [GDPR] vykládán v tom smyslu, že je jím myšlena fotokopie resp. faksimile nebo elektronická kopie určitého (elektronického) data, nebo tento výraz, v souladu s jeho chápáním v německých, francouzských a anglických slovnících, zahrnuje rovněž ‚opis‘, ‚double‘ (‚duplicata‘) nebo ‚transcript‘?

2)      Musí být čl. 15 odst. 3 první věta GDPR, podle níž ‚[s]právce poskytne kopii zpracovávaných osobních údajů‘, vykládána v tom smyslu, že stanoví obecný právní nárok subjektu údajů na vydání kopie – rovněž – veškerých dokumentů, v nichž jsou zpracovávány osobní údaje subjektu údajů, resp. na vydání kopie výpisu z databáze v případě zpracování osobních údajů v takovéto databázi, nebo je tím založen – pouze – právní nárok subjektu údajů na věrnou reprodukci osobních údajů, k nimž musí být poskytnut přístup podle čl. 15 odst. 1 GDPR?

3)      Pro případ, že odpověď na druhou otázku bude znít v tom smyslu, že subjekt údajů má pouze nárok na věrnou reprodukci osobních údajů, k nimž musí být poskytnut přístup podle čl. 15 odst. 1 GDPR, musí být čl. 15 odst. 3 první věta [tohoto nařízení] vykládána v tom smyslu, že s ohledem na druh zpracovávaných údajů [například údaje týkající se diagnóz, výsledků vyšetření, posudků nebo podkladů v souvislosti se zkouškou ve smyslu rozsudku Soudního dvora ze dne 20. prosince 2017, Nowak (C‑434/16, EU:C:2017:994)] a zásadu transparentnosti zakotvenou v čl. 12 odst. 1 GDPR může být v konkrétním případě přesto nezbytné poskytnout subjektu údajů k dispozici rovněž úryvky z textu nebo celé dokumenty?

4)      Musí být pojem ‚informace‘, které musí být podle čl. 15 odst. 3 třetí věty GDPR subjektu údajů, jestliže podává žádost v elektronické formě, ‚poskyt[nuty] […] v elektronické podobě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob‘, vykládán v tom smyslu, že jsou tím myšleny pouze ‚zpracovávan[é] osobn[í] údaj[e]‘ uvedené v čl. 15 odst. 3 první větě?

a)      V případě záporné odpovědi na čtvrtou otázku: Musí být pojem ‚informace‘, které musí být podle čl. 15 odst. 3 třetí věty GDPR subjektu údajů, jestliže podává žádost v elektronické formě, ‚poskyt[nuty] […] v elektronické podobě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob‘, vykládán v tom smyslu, že jsou tím myšleny rovněž informace podle čl. 15 odst. 1 písm. a) až h) GDPR?

b)      V případě záporné odpovědi na čtvrtou otázku písmeno a): Musí být pojem ‚informace‘, které musí být podle čl. 15 odst. 3 třetí věty GDPR subjektu údajů, jestliže podává žádost v elektronické formě, ‚poskyt[nuty] […] v elektronické podobě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob‘, vykládán v tom smyslu, že jsou tím myšleny ‚zpracovávan[é] osobn[í] údaj[e]‘, jakož i například příslušná metadata nad rámec informací uvedených v čl. 15 odst. 1 písm. a) až h) GDPR?“

 K předběžným otázkám

 K první až třetí předběžné otázce

18      Podstatou první až třetí otázky předkládajícího soudu, které je třeba zkoumat společně, je, zda čl. 15 odst. 3 první věta GDPR ve spojení se zásadou transparentnosti zakotvenou v čl. 12 odst. 1 tohoto nařízení musí být vykládána v tom smyslu, že právo získat kopii zpracovávaných osobních údajů znamená, že subjektu údajů musí být předána nejen kopie těchto údajů, ale i kopie výpisů z dokumentů či celých dokumentů nebo výpisů z databází, které obsahují mimo jiné uvedené údaje. Tento soud se táže zejména na rozsahu tohoto práva.

19      Úvodem je třeba připomenout, že podle ustálené judikatury Soudního dvora je pro výklad ustanovení unijního práva třeba zohlednit nejen jeho znění v souladu s jeho obvyklým smyslem v běžném jazyce, ale i jeho kontext a cíle sledované právní úpravou, jejíž je součástí [v tomto smyslu viz rozsudky ze dne 2. prosince 2021, Vodafone Kabel Deutschland, C‑484/20, EU:C:2021:975, bod 19 a citovaná judikatura, jakož i ze dne 7. září 2022, Staatssecretaris van Justitie en Veiligheid (Povaha práva pobytu na základě článku 20 SFEU), C‑624/20, EU:C:2022:639, bod 28].

20      Pokud jde o znění čl. 15 odst. 3 první věty GDPR, toto ustanovení stanoví, že správce „poskytne kopii zpracovávaných osobních údajů“.

21      Ačkoli GDPR neobsahuje definici takto použitého pojmu „kopie“, je třeba zohlednit obvyklý smysl tohoto výrazu, který označuje, jak uvedl generální advokát v bodě 30 svého stanoviska, věrnou reprodukci nebo opis originálu, takže čistě obecný popis zpracovávaných údajů nebo odkaz na kategorie osobních údajů neodpovídá této definici. Kromě toho ze znění čl. 15 odst. 3 první věty tohoto nařízení vyplývá, že je tato povinnost spojena s osobními údaji, které jsou předmětem dotčeného zpracování.

22      Článek 4 bod 1 GDPR definuje pojem „osobní údaje“ jako „veškeré informace o identifikované nebo identifikovatelné fyzické osobě“ a upřesňuje, že „identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“.

23      Použití výrazu „veškeré informace“ v definici pojmu „osobní údaje“ uvedené v tomto ustanovení odráží cíl unijního normotvůrce přiznat tomuto pojmu široký význam, který potenciálně zahrnuje všechny druhy informací, a to jak objektivní, tak subjektivní ve formě názoru nebo hodnocení pod podmínkou, že jsou „o“ dotčené osobě (v tomto smyslu viz rozsudek ze dne 20. prosince 2017, Nowak, C‑434/16, EU:C:2017:994, bod 34).

24      V této souvislosti bylo rozhodnuto, že informace je o identifikované nebo identifikovatelné fyzické osobě, pokud vzhledem ke svému obsahu, účelu nebo účinku souvisí s identifikovatelnou osobou (v tomto smyslu viz rozsudek ze dne 20. prosince 2017, Nowak, C‑434/16, EU:C:2017:994, bod 35).

25      Pokud jde o „identifikovatelnost“ určité fyzické osoby, bod 26 odůvodnění GDPR upřesňuje, že by se mělo přihlédnout ke „všem prostředkům, jako je například výběr vyčleněním, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby“.

26      Jak v podstatě uvedl generální advokát v bodech 36 až 39 svého stanoviska, široká definice pojmu „osobní údaje“ se nevztahuje pouze na údaje shromážděné a uchovávané správcem, ale zahrnuje rovněž veškeré informace vyplývající ze zpracování osobních údajů, které se týkají identifikované nebo identifikovatelné osoby, jako je posouzení její solventnosti nebo schopnosti splácet.

27      V této souvislosti je třeba dodat, že unijní normotvůrce zamýšlel přiznat pojmu „zpracování“, který je definován v čl. 4 bodu 2 GDPR, široký dosah tím, že použil demonstrativní výčet operací [v tomto smyslu viz rozsudek ze dne 24. února 2022, Valsts ieņēmumu dienests (Zpracování osobních údajů pro daňové účely), C‑175/20, EU:C:2022:124, bod 35].

28      Z doslovné analýzy čl. 15 odst. 3 první věty GDPR proto vyplývá, že toto ustanovení přiznává subjektu údajů právo získat věrnou reprodukci svých osobních údajů chápaných v širším smyslu, které jsou předmětem operací, jež je nutno kvalifikovat jako zpracování správcem.

29      Je však třeba konstatovat, že samotné znění tohoto ustanovení neumožňuje odpovědět na první tři otázky, protože neobsahuje nic, co by svědčilo o případném právu získat nejen kopii zpracovávaných osobních údajů, ale i kopii výpisů z dokumentů, či dokonce celých dokumentů nebo výpisů z databází, které obsahují mimo jiné tyto údaje.

30      Pokud jde o kontext čl. 15 odst. 3 první věty GDPR, je třeba uvést, že článek 15 GDPR, který je nadepsán „Právo subjektu údajů na přístup“, definuje v odstavci 1 předmět a rozsah práva subjektu údajů na přístup k osobním údajům a zakotvuje v něm právo subjektu údajů získat od správce přístup ke svým osobním údajům, jakož i k informacím uvedeným v písmenech a) až h) tohoto odstavce.

31      Článek 15 odst. 3 GDPR upřesňuje praktické podmínky pro splnění povinnosti správce, přičemž v první větě zejména upřesňuje formu, kterou tento správce musí „zpracovávané osobní údaje“ poskytnout, kterou je forma „kopie“. Kromě toho tento odstavec ve třetí větě stanoví, že jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.

32      Z toho důvodu nelze článek 15 GDPR vykládat tak, že v odst. 3 první větě stanoví právo, které je odlišné od práva stanoveného v odstavci 1. Kromě toho, jak uvedla Evropská komise v písemném vyjádření, výraz „kopie“ se nevztahuje na dokument jako takový, nýbrž na osobní údaje, které obsahuje a které musí být úplné. Kopie proto musí obsahovat veškeré zpracovávané osobní údaje.

33      Pokud jde o cíle sledované článkem 15 GDPR, je třeba uvést, že účelem GDPR je, jak upřesňuje bod 11 jeho odůvodnění, posílit a upřesnit práva subjektů údajů. Článek 15 tohoto nařízení v tomto ohledu stanoví právo na získání kopie, na rozdíl od čl. 12 písm. a) druhé odrážky směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355), který vyžadoval pouze „sdělení srozumitelnou formou o údajích, které jsou předmětem zpracování“. Bod 63 odůvodnění GDPR upřesňuje, že „[s]ubjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost“.

34      Právo na přístup stanovené v článku 15 GDPR tedy musí subjektu údajů umožnit, aby se ujistil, že osobní údaje, které se ho týkají, jsou správné a jsou zpracovávány zákonným způsobem [v tomto smyslu viz rozsudek ze dne 12. ledna 2023, Österreichische Post (Informace o příjemcích osobních údajů), C‑154/21, EU:C:2023:3, bod 37 a citovaná judikatura].

35      Konkrétně je toto právo na přístup nezbytné k tomu, aby subjekt údajů mohl případně vykonat právo na opravu, právo na výmaz („právo být zapomenut“) a právo na omezení zpracování, které mu přiznávají články 16, 17 a 18 GDPR, právo na námitku proti zpracování svých osobních údajů stanovené v článku 21 GDPR, jakož i právo na soudní ochranu pro případ utrpěné škody, zakotvené v článcích 79 a 82 GDPR [rozsudek ze dne 12. ledna 2023, Österreichische Post (Informace o příjemcích osobních údajů), C‑154/21, EU:C:2023:3, bod 38 a citovaná judikatura].

36      Je třeba rovněž připomenout, že bod 60 odůvodnění GDPR uvádí, že zásady spravedlivého a transparentního zpracování vyžadují, aby byl subjekt údajů informován o probíhající operaci zpracování a jejích účelech, přičemž je třeba zdůraznit, že správce by měl poskytnout veškeré další informace nezbytné pro zajištění spravedlivého a transparentního zpracování, s přihlédnutím ke konkrétním okolnostem a kontextu, v němž jsou osobní údaje zpracovávány.

37      Kromě toho v souladu se zásadou transparentnosti zmíněnou předkládajícím soudem, na kterou odkazuje bod 58 odůvodnění GDPR a která je výslovně zakotvena v čl. 12 odst. 1 tohoto nařízení, musí být všechny informace určené subjektu údajů stručné, snadno přístupné a srozumitelné a musí být podávané za použití jasných a jednoduchých jazykových prostředků.

38      Jak uvedl generální advokát v bodech 54 a 55 svého stanoviska, z tohoto ustanovení vyplývá, že správce je povinen přijmout vhodná opatření, aby subjektu údajů poskytl všechny informace uvedené mimo jiné v článku 15 GDPR, a to stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků, a že informace musí být poskytnuty písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě, pokud si subjekt údajů nevyžádá, aby byly informace poskytnuty ústně. Účelem tohoto ustanovení, které je výrazem zásady transparentnosti, je zajistit, aby subjekt údajů mohl plně porozumět informacím, které jsou mu zasílány.

39      Z toho vyplývá, že kopie zpracovávaných osobních údajů, kterou správce musí podle čl. 15 odst. 3 první věty GDPR poskytnout, musí vykazovat všechny vlastnosti umožňující subjektu údajů účinně uplatňovat svá práva podle tohoto nařízení, a musí proto tyto údaje úplně a přesně reprodukovat.

40      Tento výklad je v souladu s cílem tohoto nařízení, kterým je, jak vyplývá z bodu 10 jeho odůvodnění, zajistit vysokou úroveň ochrany fyzických osob v Unii a za tímto účelem zajistit v celé Unii soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod těchto osob v souvislosti se zpracováváním osobních údajů (v tomto smyslu viz rozsudek ze dne 9. února 2023, X-FAB Dresden, C‑453/21, ECLI:EU:C:2023:79, bod 25 a citovaná judikatura).

41      Za účelem zajištění toho, aby takto poskytnuté informace byly snadno pochopitelné, jak vyžaduje čl. 12 odst. 1 GDPR ve spojení s bodem 58 odůvodnění tohoto nařízení, se totiž může, jak uvedl generální advokát v bodech 57 a 58 svého stanoviska, jako nezbytná ukázat reprodukce výpisů z dokumentů či celých dokumentů nebo výpisů z databází, které obsahují mimo jiné zpracovávané osobní údaje, je-li uvedení zpracovávaných údajů do kontextu nezbytné pro zajištění jejich pochopitelnosti.

42      Zejména, pokud jsou osobní údaje generovány z jiných údajů nebo pokud takovéto údaje vyplývají z mezer v textu, to znamená z neuvedení údajů, z nichž informace o subjektu údajů vyplývají, je kontext, v němž jsou tyto údaje zpracovávány, nezbytným prvkem toho, aby subjekt údajů mohl získat transparentní přístup a aby byla prezentace těchto údajů srozumitelná.

43      Kromě toho podle čl. 15 odst. 4 GDPR ve spojení s bodem 63 odůvodnění tohoto nařízení nesmí být právem získat kopii uvedenou v odstavci 3 nepříznivě dotčena práva a svobody jiných osob, například obchodní tajemství nebo duševní vlastnictví, a zejména autorské právo chránící programové vybavení.

44      Proto je, jak zdůraznil generální advokát v bodě 61 svého stanoviska, v případě rozporu mezi výkonem práva na plný a úplný přístup k osobním údajům na straně jedné a právy nebo svobodami jiných osob na straně druhé třeba dotčená práva a svobody vyvážit. Pokud je to možné, měly by být zvoleny takové způsoby sdělování osobních údajů, které neporušují práva nebo svobody jiných osob, přičemž je třeba mít na paměti, jak je uvedeno v bodě 63 odůvodnění GDPR, že zohlednění těchto skutečností by nemělo „vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací“.

45      S ohledem na výše uvedené úvahy je třeba na první až třetí předběžnou otázku odpovědět, že čl. 15 odst. 3 první věta GDPR

musí být vykládána v tom smyslu, že

právo získat od správce kopii zpracovávaných osobních údajů znamená, že subjektu údajů musí být předána věrná a srozumitelná reprodukce všech těchto údajů. Předpokladem tohoto práva je právo získat kopii výpisů z dokumentů či celých dokumentů nebo výpisů z databází, které obsahují mimo jiné uvedené údaje, pokud je poskytnutí takovéto kopie nezbytné k tomu, aby subjekt údajů mohl účinně uplatňovat práva, která mu toto nařízení přiznává, přičemž je třeba zdůraznit, že v tomto ohledu musí být zohledněna práva a svobody jiných osob.

 Ke čtvrté předběžné otázce

46      Podstatou této otázky předkládajícího soudu je, zda čl. 15 odst. 3 třetí věta GDPR musí být vykládán v tom smyslu, že se v něm uvedený pojem „informace“ vztahuje pouze na osobní údaje, jejichž kopii musí správce poskytnout podle první věty tohoto odstavce, nebo zda se vztahuje i na všechny informace uvedené v odstavci 1 tohoto článku, či zda dokonce zahrnuje prvky, které jdou nad tento rámec, například metadata.

47      Jak bylo uvedeno v bodě 19 tohoto rozsudku, při výkladu ustanovení unijního práva je třeba zohlednit nejen jeho znění, ale i kontext, ve kterém se nachází, a cíle sledované právní úpravou, jejíž je součástí.

48      I když v tomto ohledu čl. 15 odst. 3 třetí věta GDPR pouze uvádí, že „jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá“, a neupřesňuje, co je třeba rozumět výrazem „informace“, první věta tohoto odstavce stanoví, že „správce poskytne kopii zpracovávaných osobních údajů“.

49      Z kontextu čl. 15 odst. 3 třetí věty GDPR tedy vyplývá, že v něm uvedené „informace“ nutně odpovídají osobním údajům, jejichž kopii správce musí podle první věty tohoto odstavce poskytnout.

50      Takovýto výklad je potvrzen cíli sledovanými čl. 15 odst. 3 GDPR, kterými je, jak bylo uvedeno v bodě 31 tohoto rozsudku, definovat praktické podmínky pro splnění povinnosti správce poskytnout kopii zpracovávaných osobních údajů. Toto ustanovení tedy nezakládá právo odlišné od práva subjektu údajů získat věrnou a srozumitelnou reprodukci těchto údajů, která by mu umožnila účinně uplatňovat práva, jež mu toto nařízení přiznává.

51      Přitom je třeba poznamenat, že žádné ustanovení tohoto nařízení nestanoví rozdílné zacházení s žádostí v závislosti na formě, v níž byla podána, takže rozsah práva na získání kopie se nemůže lišit v závislosti na této formě.

52      Kromě toho je třeba rovněž připomenout, že podle čl. 12 odst. 3 GDPR se informace uvedené v článku 15, včetně těch, které jsou uvedeny v odst. 1 písm. a) až h) tohoto článku, poskytují elektronicky, jestliže subjekt údajů podal žádost v elektronické formě a nepožádal o jiný způsob.

53      S ohledem na výše uvedené úvahy je třeba na čtvrtou předběžnou otázku odpovědět, že čl. 15 odst. 3 třetí věta GDPR

musí být vykládána v tom smyslu, že

se v ní uvedený pojem „informace“ vztahuje pouze na osobní údaje, jejichž kopii musí správce poskytnout podle první věty tohoto odstavce.

 K nákladům řízení

54      Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (první senát) rozhodl takto:

1)      Článek 15 odst. 3 první věta nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

musí být vykládána v tom smyslu, že

právo získat od správce kopii zpracovávaných osobních údajů znamená, že subjektu údajů musí být předána věrná a srozumitelná reprodukce všech těchto údajů. Předpokladem tohoto práva je právo získat kopii výpisů z dokumentů či celých dokumentů nebo výpisů z databází, které obsahují mimo jiné uvedené údaje, pokud je poskytnutí takovéto kopie nezbytné k tomu, aby subjekt údajů mohl účinně uplatňovat práva, která mu toto nařízení přiznává, přičemž je třeba zdůraznit, že v tomto ohledu musí být zohledněna práva a svobody jiných osob.

2)      Článek 15 odst. 3 třetí věta nařízení 2016/679

musí být vykládána v tom smyslu, že

se v ní uvedený pojem „informace“ vztahuje pouze na osobní údaje, jejichž kopii musí správce poskytnout podle první věty tohoto odstavce.

Podpisy.

*      Jednací jazyk: němčina.