Sprawa C‑33/22
Österreichische Datenschutzbehörde
przeciwko
WK
[wniosek o wydanie orzeczenia w trybie prejudycjalnym, złożony przez Verwaltungsgerichtshof (trybunał administracyjny, Austria)]
Wyrok Trybunału (wielka izba) z dnia 16 stycznia 2024 r.
Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Artykuł 16 TFUE – Rozporządzenie (UE) 2016/679 – Artykuł 2 ust. 2 lit. a) – Zakres stosowania – Wyłączenia – Działalność nieobjęta zakresem stosowania prawa Unii – Artykuł 4 ust. 2 TUE – Działalność dotycząca bezpieczeństwa narodowego – Komisja śledcza powołana przez parlament państwa członkowskiego – Artykuł 23 ust. 1 lit. a) i h) oraz art. 51 i 55 rozporządzenia (UE) nr 2016/679 – Kompetencje organu nadzorczego ds. ochrony danych – Artykuł 77 – Prawo do wniesienia skargi do organu nadzorczego – Bezpośrednia skuteczność
1. Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie 2016/679 – Zakres stosowania – Odstępstwa – Przetwarzanie danych w ramach działalności nieobjętej zakresem prawa Unii – Działalność wykonywana przez komisję śledczą powołaną przez parlament państwa członkowskiego w ramach wykonywania jego uprawnień z zakresu kontroli władzy wykonawczej – Wyłączenie – Stosowanie rozporządzenia
[art. 16 ust. 2 zdanie pierwsze TFUE; rozporządzenie Parlamentu Europejskiego i Rady 2016/679, motyw 16, art. 2 ust. 2 lit. a)]
(zob. pkt 37–43; pkt 1 sentencji)
2. Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie 2016/679 – Zakres stosowania – Odstępstwa – Przetwarzanie danych w ramach działalności nieobjętej zakresem prawa Unii – Działalność służąca zapewnieniu bezpieczeństwa narodowego lub należąca do tej kategorii – Pojęcie – Działalność wykonywana przez komisję śledczą powołaną przez parlament państwa członkowskiego w ramach wykonywania jego uprawnień z zakresu kontroli władzy wykonawczej – Dochodzenie w sprawie możliwego wywierania nacisków politycznych na policyjny organ ochrony państwa – Wyłączenie
[art. 4 ust. 2 TUE; rozporządzenie Parlamentu Europejskiego i Rady 2016/679, motyw 16, art. 2 ust. 1, art. 2 ust. 2 lit. a), art. 23]
(zob. pkt 46, 50–57; pkt 2 sentencji)
3. Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie 2016/679 – Krajowe organy kontroli – Prawo państwa członkowskiego do ustanowienia tylko jednego organu nadzorczego – Właściwość organu nadzorczego powierzona rozporządzeniem – Ograniczenie właściwości wynikające z przepisów krajowych rangi konstytucyjnej – Niedopuszczalność – Pierwszeństwo i bezpośrednia skuteczność prawa Unii
(rozporządzenie Parlamentu Europejskiego i Rady 2016/679, motyw 117, art. 51 ust. 1, art. 55 ust. 1,3, art. 77 ust. 1)
(zob. pkt 62–72; pkt 3 sentencji)
Streszczenie
Orzekając w składzie wielkiej izby w przedmiocie wniosku Verwaltungsgerichtshof (trybunału administracyjnego, Austria) o wydanie orzeczenia w trybie prejudycjalnym, Trybunał stwierdził, że działalność parlamentarnej komisji śledczej podlega RODO(1).
Wspomniana komisja śledcza (zwana dalej „komisją śledczą BVT”) została powołana przez Nationalrat (zgromadzenie narodowe, Austria) w celu zbadania możliwego wywierania nacisków politycznych na Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (federalny urząd ochrony konstytucji i zwalczania terroryzmu, Austria)(2). Jedną z osób przesłuchiwanych przez tę komisję w charakterze świadka był WK. Protokół z tego przesłuchania, który zawierał pełne imię i nazwisko WK, został opublikowany na stronie internetowej Parlament Österreich (parlamentu austriackiego), pomimo wniosku WK o jego utajnienie. Uznawszy, że ujawnienie jego tożsamości odbyło się z naruszeniem przepisów RODO i austriackiego prawa(3), WK wniósł skargę do Österreichische Datenschutzbehörde (organu ochrony danych, Austria) (zwanego dalej „Datenschutzbehörde”). Decyzją z dnia 18 września 2019 r. Datenschutzbehörde stwierdził brak właściwości do rozpoznania skargi, wyjaśniając, że jako organ władzy wykonawczej nie może kontrolować działalności komisji śledczej BVT, będącej częścią władzy ustawodawczej, gdyż jest to sprzeczne z zasadą podziału władz.
WK zaskarżył decyzję Datenschutzbehörde do Bundesverwaltungsgericht (federalnego sądu administracyjnego), który orzekł po jego myśli i uchylił ją, w następstwie czego wspomniany organ wniósł skargę rewizyjną do trybunału administracyjnego, będącego sądem odsyłającym.
Sąd ten zwrócił się w tym kontekście do Trybunału o ustalenie, czy działalność komisji śledczej powołanej przez parlament państwa członkowskiego wchodzi w zakres stosowania RODO oraz czy owo rozporządzenie znajduje zastosowanie, jeżeli wspomniana działalność dotyczy ochrony bezpieczeństwa narodowego. Sąd odsyłający dąży również do ustalenia, czy RODO powierza krajowemu organowi nadzorczemu takiemu jak Datenschutzbehörde właściwość do rozpoznawania skarg dotyczących przetwarzania danych osobowych dokonywanego przez komisję śledczą w ramach jej działalności.
Ocena Trybunału
W pierwszej kolejności Trybunał przypomniał, że jedynym celem art. 2 ust. 2 lit. a) RODO, w myśl którego RODO nie stosuje się do przetwarzania danych osobowych dokonywanego w ramach działalności nieobjętej zakresem prawa Unii, jest wyłączenie z zakresu stosowania tego rozporządzenia przetwarzania danych dokonywanego przez organy państwowe w ramach działalności mającej na celu ochronę bezpieczeństwa narodowego lub działalności należącej do tej samej kategorii. Sam fakt, iż dana działalność jest właściwa państwu lub organowi publicznemu, nie wystarcza, aby wyłączyć ją spod reżimu RODO(4).
Taka wykładnia, wynikająca z braku rozróżnienia ze względu na tożsamość podmiotu przetwarzającego, znajduje potwierdzenie w art. 4 ust. 7 RODO(5).
Trybunał wyjaśnił, że parlamentarny charakter komisji śledczej BVT nie oznacza, że jej działalność sytuuje się poza zakresem stosowania RODO. Przewidziany w art. 2 ust. 2 lit. a) tego rozporządzenia wyjątek odnosi się bowiem wyłącznie do kategorii działań, które ze względu na swój charakter nie są objęte zakresem stosowania prawa Unii, nie zaś do kategorii osób. W związku z tym sama okoliczność, że przetwarzanie danych osobowych jest dokonywane przez komisję śledczą powołaną przez parlament państwa członkowskiego w ramach wykonywania przez niego uprawnień z zakresu kontroli władzy wykonawczej, nie pozwala na ustalenie, że takie przetwarzanie jest dokonywane w ramach działalności nieobjętej zakresem prawa Unii.
W drugiej kolejności Trybunał wskazał, że chociaż to do państw członkowskich należy określenie ich podstawowych interesów bezpieczeństwa i podjęcie środków zmierzających do ich zagwarantowania(6), sama okoliczność, że dany środek krajowy został podjęty w celu ochrony bezpieczeństwa narodowego, nie powoduje wyłączenia zastosowania prawa Unii i nie zwalnia państw członkowskich z konieczności jego przestrzegania. Przewidziany w art. 2 ust. 2 lit. a) RODO wyjątek odnosi się bowiem wyłącznie do kategorii działań, które ze względu na swój charakter nie są objęte zakresem stosowania prawa Unii. W tym względzie sama okoliczność, że administratorem danych jest organ publiczny, którego główna działalność polega na zapewnieniu ochrony bezpieczeństwa narodowego, nie wystarcza do wyłączenia z zakresu stosowania RODO przetwarzania danych osobowych dokonywanego przez ten organ w ramach innych prowadzonych przez niego czynności.
W niniejszej sprawie nie wydaje się, aby sama kontrola polityczna przeprowadzona przez komisję śledczą BVT stanowiła działalność mającą na celu ochronę bezpieczeństwa narodowego lub działalność należącą do takiej kategorii. W związku z tym – z zastrzeżeniem zweryfikowania tego stwierdzenia przez sąd odsyłający – działalność ta nie jest wyłączona z zakresu stosowania RODO.
Niezależnie od powyższego parlamentarna komisja śledcza może mieć dostęp do danych osobowych, które ze względów związanych z bezpieczeństwem narodowym, zasługują na szczególną ochronę. W tym względzie ograniczenia praw i obowiązków wynikających z RODO w celu zapewnienia między innymi bezpieczeństwa narodowego mogą zostać wprowadzone w drodze aktu prawnego(7). Na tej podstawie można wprowadzić ograniczenia w odniesieniu do gromadzenia danych osobowych, informowania osób, których dane dotyczą, i ich dostępu do tych danych, a także ich ujawniania bez zgody osób, których dane dotyczą, osobom innym niż administrator danych, pod warunkiem że takie ograniczenia nie naruszają istoty podstawowych praw i wolności osób, których dane dotyczą, i są w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym.
Trybunał zwrócił jednak uwagę, że z informacji, którymi dysponuje, nie wynika, aby komisja śledcza BVT twierdziła, iż ujawnienie danych osobowych zainteresowanej osoby było konieczne dla ochrony bezpieczeństwa narodowego i oparte na przewidzianym w tym celu krajowym akcie prawnym, czego ustalenie należy jednak w stosownym wypadku do sądu odsyłającego.
W trzeciej i ostatniej kolejności Trybunał zauważył, że przepisy RODO dotyczące właściwości krajowych organów nadzorczych i prawa do wniesienia skargi do nich(8) nie wymagają przyjęcia krajowych środków wykonawczych oraz są wystarczająco jasne, precyzyjne i bezwarunkowe, aby mogły być bezpośrednio skuteczne. Wynika z tego, że chociaż RODO przyznało państwom członkowskim uprawnienia dyskrecjonalne co do liczby organów nadzorczych, które chcą one ustanowić(9), to określiło ono zakres ich kompetencji do nadzorowania stosowania tego rozporządzenia. W przypadku gdy państwo członkowskie zdecyduje się na ustanowienie jednego krajowego organu nadzorczego, organ ten musi posiadać całość kompetencji przewidzianych w RODO. Odmienna wykładnia pozbawiłaby bezpośredniej skuteczności przepisy RODO i mogłaby osłabić skuteczność (effet utile) wszystkich pozostałych przepisów tego rozporządzenia, na których może opierać się skarga.
Co się tyczy okoliczności, że możliwość kontrolowania przez organ nadzorczy, który podlega władzy wykonawczej, stosowania RODO przez organ podlegający władzy ustawodawczej została wyłączona przez krajowe przepisy rangi konstytucyjnej, Trybunał podkreślił, że RODO zobowiązuje państwa członkowskie do ustanowienia co najmniej jednego organu nadzorczego, dając im jednocześnie możliwość ustanowienia kilku takich organów, właśnie z myślą o poszanowaniu ich struktury konstytucyjnej. Omawiane rozporządzenie przyznaje zatem każdemu państwu członkowskiemu uprawnienia dyskrecjonalne pozwalające mu na ustanowienie takiej liczby organów nadzorczych, jaką narzucają mu w szczególności wymogi związane ze strukturą konstytucyjną tego państwa.
Należy ponadto przypomnieć, że powołanie się przez państwo członkowskie na przepisy prawa krajowego nie może naruszać jedności i skuteczności prawa Unii. Skutki wynikające z zasady pierwszeństwa prawa Unii wiążą bowiem wszystkie organy państwa członkowskiego, czemu nie mogą stanąć na przeszkodzie w szczególności przepisy wewnętrzne, w tym również przepisy rangi konstytucyjnej
W związku z tym, jeżeli państwo członkowskie zdecydowało się na ustanowienie jednego organu nadzorczego, nie może ono powoływać się na przepisy prawa krajowego, nawet rangi konstytucyjnej, w celu wyłączenia przetwarzania danych osobowych objętego zakresem stosowania RODO spod nadzoru tego organu.