SODBA SODIŠČA (prvi senat)
z dne 12. januarja 2023(*)
„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba (EU) 2016/679 – Člen 15(1)(c) – Pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa do svojih podatkov – Informacije o uporabnikih ali kategorijah uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki – Omejitve“
V zadevi C‑154/21,
katere predmet je predlog za sprejetje predhodne odločbe na podlagi člena 267 PDEU, ki ga je vložilo Oberster Gerichtshof (vrhovno sodišče, Avstrija) z odločbo z dne 18. februarja 2021, ki je na Sodišče prispela 9. marca 2021, v postopku
RW
proti
Österreichische Post AG,
SODIŠČE (prvi senat),
v sestavi A. Arabadjiev, predsednik senata, L. Bay Larsen, podpredsednik Sodišča v funkciji predsednika prvega senata, P. G. Xuereb, A. Kumin, sodnika, in I. Ziemele (poročevalka), sodnica,
generalni pravobranilec: G. Pitruzzella,
sodni tajnik: A. Calot Escobar,
na podlagi pisnega postopka,
ob upoštevanju stališč, ki so jih predložili:
– za RW R. Haupt, Rechtsanwalt,
– za Österreichische Post AG R. Marko, Rechtsanwalt,
– za avstrijsko vlado G. Kunnert, A. Posch in J. Schmoll, agenti,
– za češko vlado M. Smolek in J. Vláčil, agenti,
– za italijansko vlado G. Palmieri, agentka, skupaj z M. Russo, avvocato dello Stato,
– za latvijsko vlado J. Davidoviča, I. Hūna in K. Pommere, agentke,
– za romunsko vlado L.‑E. Baţagoi, E. Gane in A. Wellman, agentke,
– za švedsko vlado H. Eklinder, J. Lundberg, C. Meyer‑Seitz, A. M. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson, H. Shev in O. Simonsson, agenti,
– za Evropsko komisijo F. Erlbacher in H. Kranenborg, agenta,
po predstavitvi sklepnih predlogov generalnega pravobranilca na obravnavi 9. junija 2022
izreka naslednjo
Sodbo
1 Predlog za sprejetje predhodne odločbe se nanaša na razlago člena 15(1)(c) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, in popravek v UL 2016, L 127, str. 2) (v nadaljevanju: SUVP).
2 Ta predlog je bil vložen v okviru spora med osebo RW in družbo Österreichische Post AG (v nadaljevanju: Österreichische Post) v zvezi z zahtevo za dostop do osebnih podatkov na podlagi člena 15(1)(c) SUVP.
Pravni okvir
3 V uvodnih izjavah 4, 9, 10, 39, 63 in 74 SUVP je navedeno:
«(4) […] Pravica do varstva osebnih podatkov ni absolutna pravica; v skladu z načelom sorazmernosti jo je treba obravnavati glede na vlogo, ki jo ima v družbi, in jo uravnotežiti z drugimi temeljnimi pravicami. […]
[…]
(9) Cilji in načela Direktive [Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355)] še vedno veljajo, vendar to ni preprečilo razdrobljenosti izvajanja varstva osebnih podatkov v [Evropski u]niji, pravne negotovosti ali razširjenega javnega mnenja, da so precejšnja tveganja za varstvo posameznikov, zlasti glede spletne dejavnosti. Različne ravni varstva pravic in svoboščin posameznikov, zlasti pravice do varstva osebnih podatkov, pri obdelavi osebnih podatkov v državah članicah lahko preprečijo prosti pretok osebnih podatkov po celotni Uniji. Te razlike lahko pomenijo oviro pri izvajanju gospodarskih dejavnosti na ravni Unije, izkrivljajo konkurenco in ovirajo organe pri izpolnjevanju njihovih obveznosti po pravu Unije. Take različne ravni varstva izhajajo iz različnega izvajanja in uporabe Direktive 95/46/ES.
(10) Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v Uniji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. […]
[…]
(39) Vsaka obdelava osebnih podatkov bi morala biti zakonita in poštena. Načini zbiranja, uporabe, pregledovanja ali drug način obdelave ter obseg obdelave ali prihodnje obdelave osebnih podatkov, ki se nanašajo na posameznike, bi morali za posameznike biti pregledni. Načelo preglednosti zahteva, da so vse informacije in sporočila, ki se nanašajo na obdelavo teh osebnih podatkov, lahko dostopni in razumljivi ter izraženi v jasnem in preprostem jeziku. […]
[…]
(63) Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico dostopa do osebnih podatkov, ki so bili zbrani v zvezi z njim, in do enostavnega uresničevanja te pravice v razumnih časovnih presledkih, da bi se seznanil z obdelavo in preveril njeno zakonitost. […] Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve [do seznanitve in pridobitve sporočila], zlasti o namenih obdelave osebnih podatkov, po možnosti o obdobju, za katerega so osebni podatki obdelani, uporabnikih osebnih podatkov, o razlogih za morebitno avtomatsko obdelavo osebnih podatkov in, vsaj v primerih, kadar obdelava temelji na oblikovanju profilov, o posledicah take obdelave. […] Ta pravica ne bi smela negativno vplivati na pravice ali svoboščine drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, ter predvsem na avtorske pravice, ki ščitijo programsko opremo. To pa ne bi smelo povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrne dostop do vseh informacij. […]
[…]
(74) Uvesti bi bilo treba pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu. Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen izkazati skladnost dejavnosti obdelave s to direktivo, vključno z učinkovitostjo ukrepov. Ti ukrepi bi morali upoštevati naravo, obseg, okoliščine in namene obdelave ter tveganje za pravice in svoboščine posameznikov.“
4 Člen 1 SUVP, naslovljen „Predmet urejanja in cilji“, v odstavku 2 določa:
„Ta uredba varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov.“
5 Člen 5 SUVP, naslovljen „Načela v zvezi z obdelavo osebnih podatkov“, določa:
„1. Osebni podatki morajo biti:
(a) obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (,zakonitost, poštenost in preglednost‘);
[…]
2. Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati (,odgovornost‘).“
6 Člen 12 SUVP, naslovljen „Pregledne informacije, sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki“, določa:
„1. Upravljavec sprejme ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz členov 13 in 14 ter sporočila iz členov 15 do 22 in 34, povezana z obdelavo, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku. Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kjer je ustrezno z elektronskimi sredstvi. Na zahtevo posameznika, na katerega se nanašajo osebni podatki, se lahko informacije predložijo ustno, pod pogojem, da se identiteta posameznika, na katerega se nanašajo osebni podatki, dokaže z drugimi sredstvi.
2. Upravljavec posamezniku, na katerega se nanašajo osebni podatki, olajša uresničevanje njegovih pravic iz členov 15 do 22. V primerih iz člena 11(2) upravljavec ne zavrne ukrepanja na zahtevo posameznika, na katerega se nanašajo osebni podatki, za uresničevanje njegovih pravic iz členov 15 do 22, razen če upravljavec dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki.
[…]
5. Informacije, zagotovljene na podlagi členov 13 in 14, ter vsa sporočila in ukrepi, sprejeti na podlagi členov 15 do 22 in 34, se zagotovijo brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane zlasti ker se ponavljajo, lahko upravljavec:
(a) zaračuna razumno pristojbino, pri čemer upošteva administrativne stroške posredovanja informacij ali sporočila ali izvajanja zahtevanega ukrepa, ali
(b) zavrne ukrepanje v zvezi z zahtevo.
Upravljavec nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.
[…]“
7 Člen 13 SUVP, naslovljen „Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki“, v odstavku 1 določa:
„Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:
[…]
(e) uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo; […]
[…]“
8 Člen 14 SUVP, naslovljen „Informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo“, v odstavku 1 določa:
„Kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo, upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije:
[…]
(e) uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;
[…]“
9 Člen 15 SUVP, naslovljen „Pravica dostopa posameznika, na katerega se nanašajo osebni podatki“, določa:
„1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:
(a) namene obdelave;
(b) vrste zadevnih osebnih podatkov;
(c) uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
(d) kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
(e) obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
(f) pravico do vložitve pritožbe pri nadzornem organu;
(g) kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
(h) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
2. Kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, ima posameznik, na katerega se nanašajo osebni podatki, pravico biti obveščen o ustreznih zaščitnih ukrepih v skladu s členom 46 v zvezi s prenosom.
3. Upravljavec zagotovi kopijo osebnih podatkov, ki se obdelujejo. Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju administrativnih stroškov. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, in če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače, se informacije zagotovijo v elektronski obliki, ki je splošno uporabljana.
4. Pravica do pridobitve kopije iz odstavka 3 ne vpliva negativno na pravice in svoboščine drugih.“
10 Člen 16 SUVP, naslovljen „Pravica do popravka“, določa:
„Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.“
11 Člen 17 SUVP, naslovljen „Pravica do izbrisa (,Pravica do pozabe‘)“, določa:
„1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:
(a) osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;
(b) posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;
(c) posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);
(d) osebni podatki so bili obdelani nezakonito;
(e) osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;
(f) osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).
2. Kadar upravljavec objavi osebne podatke in je v skladu z odstavkom 1 osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.
[…]“
12 Člen 18 SUVP, naslovljen „Pravica do omejitve obdelave“, v odstavku 1 določa:
„Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, kadar velja en od naslednjih primerov:
(a) posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, in sicer za obdobje, ki upravljavcu omogoča preveriti točnost osebnih podatkov;
(b) je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;
(c) upravljavec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
(d) je posameznik, na katerega se nanašajo osebni podatki, vložil ugovor v zvezi z obdelavo v skladu s členom 21(1), dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.
[…]“
13 Člen 19 SUVP določa:
„Upravljavec vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave v skladu s členom 16, členom 17(1) in členom 18, razen če se to izkaže za nemogoče ali vključuje nesorazmeren napor. Upravljavec o teh uporabnikih obvesti posameznika, na katerega se nanašajo osebni podatki, če ta posameznik tako zahteva.“
14 Člen 21 SUVP, naslovljen „Pravica do ugovora“, določa:
„1. Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (e) ali (f) člena 6(1), vključno z oblikovanjem profilov na podlagi teh določb. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
2. Kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem.
3. Kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se osebni podatki ne obdelujejo več v te namene.
4. Posameznika, na katerega se nanašajo osebni podatki, se na pravico iz odstavkov 1 in 2 izrecno opozori najpozneje ob prvem komuniciranju z njim in se mu to pravico predstavi jasno in ločeno od vseh drugih informacij.
5. V okviru uporabe storitev informacijske družbe in ne glede na Direktivo 2002/58/ES [evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 29, str. 514)] lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja pravico do ugovora z avtomatiziranimi sredstvi z uporabo tehničnih specifikacij.
6. Kadar se osebni podatki obdelujejo v znanstveno‑ ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), ima posameznik, na katerega se ti podatki nanašajo, pravico, da iz razlogov, povezanih z njegovim posebnim položajem, ugovarja obdelavi osebnih podatkov v zvezi z njim, razen če je obdelava potrebna za opravljanje naloge, ki se izvaja zaradi razlogov javnega interesa.“
15 Člen 79 SUVP, naslovljen „Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca“, v odstavku 1 določa:
„Brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu na podlagi člena 77, ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni, da so bile njegove pravice iz te uredbe kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu s to uredbo.“
16 Člen 82 SUVP, naslovljen „Pravica do odškodnine in odgovornost“, v odstavku 1 določa:
„Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.“
Spor o glavni stvari in vprašanje za predhodno odločanje
17 Oseba RW se je 15. januarja 2019 obrnila na družbo Österreichische Post, da bi na podlagi člena 15 SUVP dobila dostop do osebnih podatkov v zvezi z njo, ki jih je ta družba takrat ali v preteklosti hranila, ter v primeru razkritja teh podatkov tretjim osebam do identitete teh uporabnikov.
18 Družba Österreichische Post je v odgovoru na to zahtevo zgolj navedla, da v okviru svoje dejavnosti urednika telefonskih imenikov uporablja podatke v obsegu, ki ga dovoljuje pravo, in da te osebne podatke zagotavlja poslovnim strankam zaradi trženja. Poleg tega je za podrobnejše informacije in informacije o drugih namenih obdelave podatkov navedla naslov neke spletne strani. Osebi RW ni sporočila identitete konkretnih uporabnikov podatkov.
19 Oseba RW je proti družbi Österreichische Post vložila tožbo pri avstrijskih sodiščih in predlagala, naj se ji naloži, da ji sporoči zlasti identiteto uporabnika ali uporabnikov njenih tako razkritih osebnih podatkov.
20 Med tako sproženim sodnim postopkom je družba Österreichische Post osebo RW obvestila, da so se njeni osebni podatki obdelovali zaradi trženja in da so bili posredovani strankam, kot so oglaševalska podjetja, ki opravljajo dejavnost prodaje po pošti in v prodajalnah, podjetja IT, založbe naslovov in društva, kot so dobrodelne organizacije, nevladne organizacije (NVO) ali politične stranke.
21 Prvostopenjsko in višje sodišče sta tožbo osebe RW zavrnili z obrazložitvijo, da naj bi člen 15(1)(c) GDPR s tem, da se sklicuje na „uporabnike ali kategorije uporabnika“, upravljavcu dajal možnost, da posamezniku, na katerega se nanašajo osebni podatki, navede zgolj kategorije uporabnikov, ne da bi moral poimensko navesti konkretne uporabnike, ki so jim osebni podatki razkriti.
22 Oseba RW je pri Oberster Gerichtshof (vrhovno sodišče, Avstrija), predložitvenem sodišču, vložila revizijo.
23 To sodišče se sprašuje o razlagi člena 15(1)(c) SUVP, ker naj besedilo te določbe ne bi omogočalo jasno ugotoviti, ali ta člen posamezniku, na katerega se nanašajo osebni podatki, daje pravico do dostopa do informacij o konkretnih uporabnikih razkritih podatkov ali pa lahko upravljavec prosto presoja, kako namerava ugoditi zahtevi za dostop do informacij o uporabnikih.
24 Vendar navedeno sodišče opozarja, da je ratio legis navedene določbe bolj v prid razlagi, da je posameznik, na katerega se nanašajo osebni podatki, tisti, ki lahko izbere, da zahteva informacije v zvezi s kategorijami uporabnikov ali v zvezi s konkretnimi uporabniki njegovih osebnih podatkov. Po njegovem mnenju bi vsaka nasprotna razlaga resno posegla v učinkovitost pravnih sredstev, ki so posamezniku, na katerega se nanašajo osebni podatki, na voljo zaradi varstva svojih podatkov. Če bi imeli upravljavci na voljo izbiro, da posameznikom, na katere se nanašajo osebni podatki, navedejo konkretne uporabnike ali pa samo kategorije uporabnikov, naj bi obstajala nevarnost, da v praksi skoraj nihče od njih ne bi zagotovil informacij v zvezi s konkretnimi uporabniki.
25 Poleg tega naj bi bil s členom 15(1) SUVP nasprotno od člena 13(1)(e) in člena 14(1)(e) te uredbe, ki določata obveznost upravljavca, da zagotovi informacije, na katere se nanašata, poudarek postavljen na obseg pravice do dostopa posameznika, na katerega se nanašajo osebni podatki, kar naj bi po mnenju predložitvenega sodišča prav tako kazalo na to, da ima posameznik, na katerega se nanašajo osebni podatki, pravico izbirati med tem, ali bo zahteval informacije o konkretnih prejemnikih ali o kategorijah prejemnikov.
26 Nazadnje, predložitveno sodišče dodaja, da se pravica do dostopa iz člena 15(1) SUVP ne nanaša le na osebne podatke, ki se takrat obdelujejo, ampak tudi na vse podatke, ki so bili obdelani v preteklosti. V zvezi s tem pojasnjuje, da se lahko preudarki iz sodbe z dne 7. maja 2009, Rijkeboer (C‑553/07, EU:C:2009:293), ki temeljijo na cilju pravice do dostopa, določene z Direktivo 95/46, prenesejo na pravico do dostopa iz člena 15 SUVP in to še toliko bolj, ker je mogoče iz uvodnih izjav 9 in 10 te uredbe izpeljati, da zakonodajalec Unije ni imel namena zmanjšati raven varstva v razmerju do te direktive.
27 V teh okoliščinah je Oberster Gerichtshof (vrhovno sodišče) prekinilo odločanje in Sodišču v predhodno odločanje predložilo to vprašanje:
„Ali je treba člen 15(1)(c) [SUVP] razlagati tako, da je pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa do informacij o kategorijah uporabnika omejena, če konkretni uporabniki pri načrtovanih razkritjih še niso znani, pri čemer mora pravica dostopa obvezno zajemati tudi uporabnike teh razkritij, če so bili podatki že razkriti?“
Vprašanje za predhodno odločanje
28 Predložitveno sodišče z vprašanjem za predhodno odločanje v bistvu sprašuje, ali je treba člen 15(1)(c) SUVP razlagati tako, da pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa do osebnih podatkov v zvezi z njim iz te določbe pomeni, da mora upravljavec, kadar so bili ali bodo ti podatki razkriti uporabnikom, tej osebi zagotoviti konkretno identiteto teh uporabnikov.
29 Najprej je treba opozoriti, da je treba v skladu z ustaljeno sodno prakso pri razlagi določbe prava Unije upoštevati ne le njeno besedilo, ampak tudi kontekst, v katerega je umeščena, ter cilje in namen, ki jim sledi akt, katerega del je ta določba (sodba z dne 15. marca 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, točka 63). Kadar je določbo prava Unije mogoče razlagati na več načinov, je treba poleg tega dati prednost razlagi, s katero se ohrani njen polni učinek (sodba z dne 7. marca 2018, Cristal Union, C‑31/17, EU:C:2018:168, točka 41 in navedena sodna praksa).
30 Najprej, v zvezi z besedilom člena 15(1)(c) SUVP je treba opozoriti, da je v tej določbi navedeno, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je to tako, dostop do osebnih podatkov in informacije o uporabnikih ali kategorijah uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki.
31 V zvezi s tem je treba navesti, da sta izraza „uporabniki“ in „kategorije uporabnikov“ iz te določbe uporabljena zaporedoma, ne da bi bilo mogoče sklepati, da med njima obstaja prednostni vrstni red.
32 Tako je treba ugotoviti, da na podlagi besedila člena 15(1)(c) SUVP ni mogoče nedvoumno ugotoviti, ali bi imel posameznik, na katerega se nanašajo osebni podatki, kadar so bili ali bodo razkriti osebni podatki v zvezi z njim, pravico biti obveščen o konkretni identiteti uporabnikov teh podatkov.
33 Dalje, v zvezi s kontekstom, v katerega je umeščen člen 15(1)(c) SUVP, je treba na prvem mestu opozoriti, da je v uvodni izjavi 63 te uredbe navedeno, da mora imeti posameznik, na katerega se nanašajo osebni podatki, pravico do seznanitve in pridobitve sporočila med drugim o uporabnikih teh osebnih podatkov, pri čemer ni natančneje navedeno, da bi bilo to pravico mogoče omejiti le na kategorije uporabnikov, kot je generalni pravobranilec navedel v točki 23 sklepnih predlogov.
34 Na drugem mestu je treba opozoriti tudi, da mora biti vsaka obdelava osebnih podatkov posameznikov, da bi bila spoštovana pravica do dostopa, v skladu z načeli iz člena 5 SUVP (glej v tem smislu sodbo z dne 16. januarja 2019, Deutsche Post, C‑496/17, EU:C:2019:26, točka 57).
35 Med temi načeli pa je načelo preglednosti iz člena 5(1)(a) SUVP, s katerim se zahteva, kot je razvidno iz uvodne izjave 39 te uredbe, da ima posameznik, na katerega se nanašajo osebni podatki, na voljo informacije o tem, kako se obdelujejo njegovi osebni podatki, ter da so te informacije lahko dostopne in razumljive.
36 Na tretjem mestu je treba navesti, kot je generalni pravobranilec poudaril v točki 21 sklepnih predlogov, da drugače kot člena 13 in 14 SUVP, ki določata obveznost upravljavca, da posamezniku, na katerega se nanašajo osebni podatki, zagotovi informacije o kategorijah uporabnikov ali o konkretnih uporabnikih osebnih podatkov v zvezi z njim, kadar so oziroma kadar niso pridobljeni od posameznika, na katerega se nanašajo osebni podatki, člen 15 GDPR določa dejansko pravico dostopa v korist posameznika, na katerega se nanašajo osebni podatki, tako da mora imeti ta na voljo, da izbere bodisi prejem informacij o konkretnih uporabnikih, ki so jim bili ali jim bodo razkriti navedeni podatki, kadar je to mogoče, bodisi informacij o kategorijah uporabnikov.
37 Na četrtem mestu, Sodišče je že presodilo, da mora uveljavljanje te pravice do dostopa posamezniku, na katerega se nanašajo osebni podatki, omogočati, da preveri ne le, ali so podatki v zvezi z njim pravilni, ampak tudi, ali je njihova obdelava zakonita (glej po analogiji sodbi z dne 17. julija 2014, YS in drugi, C‑141/12 in C‑372/12, EU:C:2014:2081, točka 44, in z dne 20. decembra 2017, Nowak, C‑434/16, EU:C:2017:994, točka 57), zlasti ali so bili razkriti pooblaščenim uporabnikom (glej po analogiji sodbo z dne 7. maja 2009, Rijkeboer, C‑553/07, EU:C:2009:293, točka 49).
38 Natančneje, ta pravica do dostopa je nujna, da bi lahko posameznik, na katerega se nanašajo osebni podatki, po potrebi uveljavljal pravico do popravka, pravico do izbrisa („pravica do pozabe“) in pravico do omejitve obdelave, ki jo ima na podlagi členov 16, 17 in 18 SUVP (glej po analogiji sodbi z dne 17. julija 2014, YS in drugi, C‑141/12 in C‑372/12, EU:C:2014:2081, točka 44, in z dne 20. decembra 2017, Nowak, C‑434/16, EU:C:2017:994, točka 57), ter pravico do ugovora obdelavi osebnih podatkov, določeno v členu 21 SUVP, in pravico do pravnega sredstva v primeru utrpljene škode, ki je določena v členih 79 in 82 SUVP (glej po analogiji sodbo z dne 7. maja 2009, Rijkeboer, C‑553/07, EU:C:2009:293, točka 52).
39 Tako mora imeti posameznik, na katerega se nanašajo osebni podatki, da se zagotovi polni učinek vseh pravic, navedenih v prejšnji točki te sodbe, natančneje na voljo pravico biti obveščen o identiteti konkretnih uporabnikov v primeru, v katerem so njegovi osebni podatki že bili razkriti.
40 Na petem in zadnjem mestu, taka razlaga je potrjena z razlago člena 19 SUVP, ki v prvem stavku določa, da upravljavec načeloma vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave, in v drugem stavku, da upravljavec o teh uporabnikih obvesti posameznika, na katerega se nanašajo osebni podatki, če ta posameznik tako zahteva.
41 Tako člen 19, drugi stavek, SUVP posamezniku, na katerega se nanašajo osebni podatki, izrecno podeljuje pravico do tega, da ga upravljavec o konkretnih uporabnikih podatkov v zvezi z njim obvesti v okviru svoje obveznosti, da vse uporabnike obvesti o izvajanju pravic, ki jih ima ta posameznik na podlagi člena 16, člena 17(1) in člena 18 SUVP.
42 Iz zgornje kontekstualne analize izhaja, da je člen 15(1)(c) SUVP ena od določb, katerih namen je zagotoviti preglednost načinov obdelave osebnih podatkov v razmerju do posameznika, na katerega se nanašajo osebni podatki, in da temu posamezniku omogoča, kot je generalni pravobranilec navedel v točki 33 sklepnih predlogov, izvajanje pravic, določenih zlasti v členih od 16 do 19, 21, 79 in 82 SUVP.
43 Zato je treba šteti, da morajo biti informacije, ki so posamezniku, na katerega se nanašajo osebni podatki, zagotovljene na podlagi pravice do dostopa iz člena 15(1)(c) SUVP, čim natančnejše. Natančneje, ta pravica do dostopa vključuje možnost, da posameznik, na katerega se nanašajo osebni podatki, od upravljavca pridobi informacije o konkretnih uporabnikih, ki so jim bili ali jim bodo razkriti podatki, oziroma alternativno, da se omeji na zahtevo po informacijah v zvezi s kategorijami prejemnikov.
44 Nazadnje, v zvezi s ciljem, ki mu sledi SUVP, je treba navesti, da je namen te uredbe, kot je razvidno iz njene uvodne izjave 10, med drugim zagotoviti visoko raven varstva posameznikov v Uniji (sodba z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točka 207). V zvezi s tem, kot je generalni pravobranilec v bistvu navedel v točki 14 sklepnih predlogov, se s splošnim pravnim okvirom, ustvarjenim s SUVP, uresničujejo zahteve, ki izhajajo iz temeljne pravice do varstva osebnih podatkov, ki je varovana s členom 8 Listine Evropske unije o temeljnih pravicah, zlasti z zahtevami, ki so izrecno določene v odstavku 2 tega člena (glej v tem smislu sodbo z dne 9. marca 2017, Manni, C‑398/15, EU:C:2017:197, točka 40).
45 Ta cilj pa potrjuje razlago člena 15(1) SUVP iz točke 43 te sodbe.
46 Zato tudi iz cilja, ki mu sledi SUVP, izhaja, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca zahtevati informacije o konkretnih uporabnikih, ki so jim bili ali jim bodo razkriti osebni podatki v zvezi z njim.
47 Ob tem je treba nazadnje poudariti, da pravica do varstva osebnih podatkov, kot je razvidno iz uvodne izjave 4 SUVP, ni absolutna pravica. To pravico je treba namreč v skladu z načelom sorazmernosti obravnavati glede na vlogo, ki jo ima v družbi, in jo uravnotežiti z drugimi temeljnimi pravicami, kot je Sodišče to v bistvu potrdilo v točki 172 sodbe z dne 16. julija 2020, Facebook Ireland in Schrems (C‑311/18, EU:C:2020:559).
48 Tako je mogoče priznati, da v posebnih okoliščinah ni mogoče zagotoviti informacij o konkretnih uporabnikih. Zato je lahko pravica do dostopa omejena na informacije o kategorijah uporabnikov, če identitete konkretnih uporabnikov ni mogoče sporočiti, zlasti kadar ti še niso znani.
49 Poleg tega je treba opozoriti, da lahko upravljavec na podlagi člena 12(5)(b) SUVP v skladu z načelom odgovornosti iz člena 5(2) te uredbe in njeno uvodno izjavo 74 zavrne ukrepanje v zvezi z zahtevami posameznika, na katerega se nanašajo osebni podatki, kadar so te zahteve očitno neutemeljene ali pretirane, pri čemer je natančneje določeno, da ta upravljavec nosi dokazno breme, da so navedene zahteve očitno neutemeljene ali pretirane.
50 V obravnavanem primeru je iz predloga za sprejetje predhodne odločbe razvidno, da je družba Österreichische Post zavrnila zahtevo, ki jo je oseba RW vložila na podlagi člena 15(1) SUVP, naj ji ta družba zagotovi identiteto uporabnikov, ki jim je razkrila osebne podatke v zvezi z njo. Predložitveno sodišče bo moralo preveriti, ali je družba Österreichische Post ob upoštevanju okoliščin iz postopka v glavni stvari dokazala, da je ta zahteva očitno neutemeljena ali pretirana.
51 Glede na vse zgoraj navedene preudarke je treba na vprašanje za predhodno odločanje odgovoriti, da je treba člen 15(1)(c) SUVP razlagati tako, da pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa do osebnih podatkov v zvezi z njim iz te določbe pomeni, da mora upravljavec, kadar so bili ali bodo ti podatki razkriti uporabnikom, temu posamezniku zagotoviti dejansko identiteto teh uporabnikov, razen če identifikacija teh uporabnikov ni mogoča ali če navedeni upravljavec dokaže, da so zahteve za dostop posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane v smislu člena 12(5) SUVP, pri čemer lahko ta upravljavec v takem primeru temu posamezniku zagotovi le kategorije zadevnih uporabnikov.
Stroški
52 Ker je ta postopek za stranki v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.
Iz teh razlogov je Sodišče (prvi senat) razsodilo:
Člen 15(1)(c) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)
je treba razlagati tako, da
pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa do osebnih podatkov v zvezi z njim iz te določbe pomeni, da mora upravljavec, kadar so bili ali bodo ti podatki razkriti uporabnikom, temu posamezniku zagotoviti dejansko identiteto teh uporabnikov, razen če identifikacija teh uporabnikov ni mogoča ali če navedeni upravljavec dokaže, da so zahteve za dostop posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane v smislu člena 12(5) Uredbe 2016/679, pri čemer lahko ta upravljavec v takem primeru temu posamezniku zagotovi le kategorije zadevnih uporabnikov.
Podpisi