Wydanie tymczasowe
OPINIA RZECZNIK GENERALNEJ
LAILI MEDINY
przedstawiona w dniu 6 czerwca 2024 r.(1)
Sprawa C‑169/23 [Másdi](i)
Nemzeti Adatvédelmi és Információszabadság Hatóság
przeciwko
UC
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Kúria (sąd najwyższy, Węgry)]
Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Przetwarzanie danych na potrzeby wydania zaświadczenia COVID-19 – Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą – Artykuł 14 ust. 1 – Odstępstwa od obowiązku informacyjnego – Pozyskiwanie lub ujawnianie wyraźnie określone w przepisach prawa Unii lub państwa członkowskiego – Odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą – Artykuł 14 ust. 5 lit. c) – Prawo do wniesienia skargi do organu nadzorczego – Artykuł 77
I. Wprowadzenie
1. Jednym z najważniejszych obowiązków administratora danych jest obowiązek informacyjny ciążący na nim w stosunku do osoby, której dane dotyczą. Elokwentnie ujął to w opinii wydanej w sprawie Bara rzecznik generalny Pedro Cruz Villalón, stwierdzając, że wymóg informowania osoby, której dane dotyczą, „gwarantuje przejrzystość wszelkich czynności przetwarzania”(2). Obowiązek informacyjny nawiązuje do jednego z najważniejszych praw przysługujących osobie, której dane dotyczą, jakim jest prawo do otrzymywania informacji na temat przetwarzania jej danych osobowych. W doktrynie(3) zauważa się, że prawo do informacji „unaocznia” zasadę przejrzystości i „ogniskuje w sobie” wszystkie inne prawa. Szeroko zakrojone wymogi informacyjne umożliwiają bowiem osobie, której dane dotyczą, wykonywanie innych ważnych praw uznanych rozporządzeniem (UE) 2016/679(4).
2. Niniejsza sprawa dotyczy sporu zaistniałego w kontekście wydawania zaświadczeń COVID-19. Stanowi dla Trybunału okazję, by po raz pierwszy dokonał on wykładni istotnego odstępstwa od obowiązku informacyjnego ciążącego na administratorze danych, które to odstępstwo przewidziano w art. 14 ust. 5 lit. c) RODO. Odnośne odstępstwo zostanie przeanalizowane w związku z uprawnieniami, jakimi dysponuje organ nadzorczy w kontekście skargi wniesionej przez osobę, której dane dotyczą.
II. Kontekst prawny
A. Prawo Unii Europejskiej
3. Artykuł 14 RODO, zatytułowany „Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą”, stanowi w ust. 1, 2 i 5:
„1. Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
d) kategorie odnośnych danych osobowych;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję [Europejską] odpowiedniego stopnia ochrony […]
2. Poza informacjami, o których mowa w ust. 1, administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
c) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
e) informacje o prawie wniesienia skargi do organu nadzorczego;
f) źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
g) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
[…]
5. Ustęp 1–4 nie mają zastosowania, gdy – i w zakresie, w jakim:
[…]
c) pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą;
[…]”.
4. Artykuł 32 RODO, zatytułowany „Bezpieczeństwo przetwarzania”, stanowi w ust. 1:
„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku […]
[…]”.
5. Artykuł 77 RODO, zatytułowany „Prawo do wniesienia skargi do organu nadzorczego”, stanowi w ust. 1:
„Bez uszczerbku dla innych [środków] administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie”.
B. Prawo węgierskie
6. Paragraf 2 ust. 1 lit. a)–g) koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet (dekretu rady ministrów 60/2021 z dnia 12 lutego 2021 r. w sprawie świadectwa odporności na koronawirusa, zwanego dalej „dekretem 60/2021”), w wersji obowiązującej w odniesieniu do sporu będącego przedmiotem postępowania głównego, stanowi:
„Świadectwo odporności zawiera:
a) imię i nazwisko osoby, której dane dotyczą;
b) numer paszportu osoby, której dane dotyczą, jeśli go posiada;
c) numer i identyfikator stałego dowodu osobistego osoby, której dane dotyczą, jeśli go posiada;
d) numer serii świadectwa odporności;
e) jeśli przedstawiono dowód szczepienia, datę szczepienia;
f) jeśli przedstawiono dowód wyzdrowienia, datę ważności tego dowodu;
g) kod zapisu danych odczytywany optycznie przez urządzenia informatyczne, wygenerowany z danych, o których mowa w lit. a)–f);
[…]”.
7. Zgodnie z § 2 ust. 6 i 7 dekretu 60/2021 świadectwo odporności miał wydawać uprawnionej osobie fizycznej, działając z urzędu lub na wniosek osoby zainteresowanej, Budapest Főváros Kormányhivatala (delegatura administracji rządowej w mieście stołecznym Budapeszt, zwana dalej „delegaturą w Budapeszcie”).
8. Paragraf 3 ust. 3 dekretu 60/2021 stanowi:
„W przypadkach, o których mowa w § 2 ust. 6 lit. c) i d), [delegatura w Budapeszcie] zbiera w drodze automatycznego przekazywania informacji, w razie potrzeby z wykorzystaniem odpowiednich usług összerendelési nyilvántartás [rejestru porządkowania elektronicznego danych identyfikacyjnych, Węgry] – od następujących podmiotów następujące dane:
a) operatora EESZT [Elektronikus Egészségügyi Szolgáltatási Tér (obszaru elektronicznych usług zdrowotnych)]: numer ubezpieczenia społecznego osoby, której dane dotyczą; dane, o których mowa w § 2 ust. 1 lit. e) i g) oraz dane, o których mowa w akapicie pierwszym;
b) podmiotu prowadzącego rejestr danych osobowych i adresów: imię i nazwisko, identyfikatory paszportu i stałego dowodu osobistego oraz adres osoby, której dane dotyczą”.
III. Postępowanie główne i pytania prejudycjalne
9. UC, będący osobą fizyczną, otrzymał od delegatury w Budapeszcie świadectwo odporności potwierdzające jego zaszczepienie przeciwko COVID-19.
10. Dnia 30 kwietnia 2021 r. UC wniósł do Nemzeti Adatvédelmi és Információszabadság Hatóság (krajowego organu ochrony danych i wolności informacji, Węgry, zwanego dalej „węgierskim organem ochrony danych”) skargę na podstawie art. 77 ust. 1 RODO. UC zwrócił się do tego organu o nakazanie delegaturze w Budapeszcie dostosowania prowadzonych przez niego operacji przetwarzania danych do przepisów RODO. W swojej skardze UC podniósł między innymi, że delegatura w Budapeszcie nie sporządza i nie publikuje informacji o polityce prywatności w przedmiocie przetwarzania danych osobowych w związku z wydawaniem świadectw odporności, oraz że nie przedstawia wystarczających informacji na temat celu i podstawy prawnej przetwarzania danych, a także na temat praw przysługujących osobom, których dane dotyczą, i sposobu ich wykonywania.
11. W postępowaniu wszczętym na skutek wniesienia skargi delegatura w Budapeszcie stwierdziła, że wykonywała swoje funkcje związane z wydawaniem świadectw odporności na podstawie § 2 dekretu 60/2021, podstawą prawną przetwarzania danych osobowych był art. 6 ust. 1 lit. e) RODO, a w odniesieniu do przetwarzania szczególnych kategorii danych osobowych – art. 9 ust. 2 lit. i) RODO.
12. Dodatkowo delegatura w Budapeszcie wskazała, że w oparciu o § 3 ust. 2 i 3 dekretu 60/2021 zebrała dane podlegające przetworzeniu w drodze automatycznego przekazywania informacji od operatora obszaru elektronicznych usług zdrowotnych (Elektronikus Egészségügyi Szolgáltatási Tér) oraz od podmiotu prowadzącego rejestr danych osobowych i adresów. Stwierdziła ona, że zgodnie z art. 14 ust. 5 lit. c) RODO nie była zobowiązana do podawania informacji w przedmiocie przetwarzania danych. Mimo to opracowała informację o polityce prywatności w przedmiocie przetwarzania stosownych danych i opublikowała ją na swojej stronie internetowej.
13. Decyzją z dnia 15 listopada 2021 r. węgierski organ nadzorczy oddalił skargę na tej podstawie, iż delegatura w Budapeszcie nie była zobowiązana do podania informacji, ponieważ do przetwarzania miało zastosowanie odstępstwo, o którym mowa w art. 14 ust. 5 lit. c) RODO. Ściślej mówiąc, organ nadzorczy uznał, że podstawę prawną przetwarzania stanowił dekret 60/2021 i że delegatura w Budapeszcie nie pozyskała danych od osób, których te dane dotyczą. Co więcej, organ ten stwierdził, że w § 3 ust. 1 dekretu 60/2021 wprost zobowiązuje się delegaturę w Budapeszcie do zbierania danych. Za dobrą praktykę uznano okoliczność, że delegatura w Budapeszcie opublikowała na swojej stronie internetowej informację w przedmiocie przetwarzania danych, pomimo że nie była do tego ustawowo zobowiązana.
14. Węgierski organ nadzorczy zbadał z urzędu kwestię odpowiednich środków chroniących prawnie uzasadnione interesy osoby, której dane dotyczą, o których mowa w art. 14 ust. 5 lit. c) RODO, i stwierdził, że za takie środki należy uznać §§ 2 i 3 oraz §§ 5–7 dekretu 60/2021.
15. UC wniósł skargę na decyzję węgierskiego organu nadzorczego do Fővárosi Törvényszék (sądu dla miasta stołecznego Budapeszt, Węgry). Sąd ten uwzględnił żądania zawarte w skardze, uchylił decyzję węgierskiego organu nadzorczego i nakazał mu ponowne rozpatrzenie sprawy.
16. W uzasadnieniu wyroku Fővárosi Törvényszék (sąd dla miasta stołecznego Budapeszt) stwierdził, że odstępstwo przewidziane w art. 14 ust. 5 lit. c) RODO nie ma zastosowania, ponieważ w przypadku świadectw odporności część danych nie jest pobierana przez administratora od innego podmiotu, lecz administrator generuje je samodzielnie. Do danych tych należą, między innymi, numer seryjny świadectwa odporności, okres ważności świadectwa, kod QR zawarty na świadectwie, kod kreskowy i inne kody alfanumeryczne wygenerowane przez administratora w trakcie prowadzenia przez niego postępowania.
17. Od przytoczonego prawomocnego wyroku Fővárosi Törvényszék (sądu dla miasta stołecznego Budapeszt) węgierski organ nadzorczy wniósł do Kúrii (sądu najwyższego, Węgry) nadzwyczajną skargę kasacyjną.
18. W kwestii stosowania odstępstwa przewidzianego w art. 14 ust. 5 lit. c) RODO, sąd odsyłający uważa, że może ono odnosić się do wszystkich rodzajów przetwarzania, które nie dotyczą danych zbieranych od osoby, której dane dotyczą, w rozumieniu art. 13 RODO, w tym danych generowanych przez administratora.
19. Gdyby taka wykładnia art. 14 ust. 5 lit. c) RODO miałaby zostać utrzymana, sąd odsyłający ma wątpliwości co do zakresu uprawnień naprawczych krajowych organów nadzorczych w kontekście skargi wnoszonej na podstawie art. 77 ust. 1 RODO. Ściślej mówiąc, sąd odsyłający ma wątpliwości, czy w kontekście takiej skargi organ nadzorczy ma prawo badać kwestię odpowiednich środków przewidzianych w prawie krajowym w celu ochrony prawnie uzasadnionych interesów osoby, której dane dotyczą, do których odnosi się art. 14 ust. 5 lit. c) RODO.
20. Gdyby miało zostać stwierdzone, że organ nadzorczy posiada takie uprawnienia, sąd odsyłający ma wątpliwości, co dokładnie oznacza sformułowanie „odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą”. W tym względzie zauważa on, że można by stwierdzić, że „odpowiednie środki” obejmują z jednej strony transponowanie do prawa krajowego kwestii wymienionych w art. 14 ust. 1 lit. a)–f) RODO. Z drugiej strony środki te mogłyby obejmować prawo do żądania zbadania bezpieczeństwa przetwarzania danych uregulowanego w art. 32 RODO. Takie rozumienie „odpowiednich środków” pociągałoby za sobą jednak ryzyko obciążenia przepisów aspektami technicznymi, co stałoby w sprzeczności z wymogiem, zgodnie z którym akty ustawodawcze mają być zrozumiałe i jasne. Wystarczającą gwarancją mogłoby być też przestrzeganie środków związanych z bezpieczeństwem danych, nawet jeżeli nie zostały w sposób wyraźny transponowane.
21. W tych okolicznościach Kúria (sąd najwyższy) postanowił zawiesić postępowanie i skierować do Trybunału następujące pytania prejudycjalne:
„1) Czy art. 14 ust. 5 lit. c) w związku z art. 14 ust. 1 i motywem 62 [RODO] należy interpretować w ten sposób, że wyjątek, o którym mowa w art. 14 ust. 5 lit. c), nie ma zastosowania w odniesieniu do danych wygenerowanych w ramach postępowania prowadzonego przez administratora, lecz jedynie w odniesieniu do danych, które administrator w sposób wyraźny pozyskał od innej osoby?
2) Czy w przypadku, gdy art. 14 ust. 5 lit. c) RODO ma zastosowanie również w odniesieniu do danych wygenerowanych w ramach postępowania prowadzonego przez administratora, prawo do wniesienia skargi do organu nadzorczego, o którym mowa w art. 77 ust. 1 RODO, należy interpretować w ten sposób, że osoba fizyczna, która zarzuca naruszenie obowiązku informacyjnego, może, wykonując swoje uprawnienie do wniesienia skargi, złożyć wniosek o zbadanie, czy zgodnie z art. 14 ust. 5 lit. c) RODO prawo państwa członkowskiego przewiduje odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą?
3) W przypadku odpowiedzi twierdzącej na pytanie drugie, czy art. 14 ust. 5 lit. c) RODO można interpretować w ten sposób, że sformułowanie »odpowiednie środki«, o których mowa w przywołanym przepisie, oznacza, że ustawodawca krajowy powinien dokonać transpozycji (w drodze przepisu prawa) środków dotyczących bezpieczeństwa danych, o których mowa w art. 32 RODO?”.
22. UC, węgierski organ nadzorczy, rząd węgierski oraz Komisja przedłożyły uwagi na piśmie. Trybunał przesłał pytania wymagające odpowiedzi na piśmie do stron postępowania i zainteresowanych stron zgodnie z art. 23 Statutu Trybunału Sprawiedliwości Unii Europejskiej, na które odpowiedzieli: UC, rząd czeski, rząd węgierski i Komisja.
IV. Analiza
A. Uwagi wstępne w sprawie obowiązku informowania oraz odstępstwa przewidzianego w art. 14 ust. 5 lit. c) RODO
23. Przekazywanie informacji osobom, których dane dotyczą, stanowi centralny element zasady przejrzystości określonej w art. 5 ust. 1 lit. a) RODO. Przejrzystość „uprawnia osoby, których dane dotyczą, do pociągania do odpowiedzialności administratorów lub podmiotów przetwarzających”, ponieważ zwiększa możliwość sprawowania kontroli nad ich danymi(5). Jak stwierdzono bowiem w wyroku w sprawie Bara i in. „wymóg informowania osób, których dotyczy przetwarzanie ich danych osobowych, jest tym ważniejszy, iż stanowi warunek konieczny wykonywania przez te osoby ich prawa dostępu do przetwarzanych danych i sprostowania ich”(6). Najważniejszymi przepisami w tym względzie są art. 12, 13 i 14 RODO.
24. Zgodnie z art. 12 ust. 1 RODO administrator musi podjąć odpowiednie środki, aby „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem” udzielić osobie, której dane dotyczą, informacji, o których mowa w art. 13 i 14. Zazwyczaj informacje te są podawane w informacji o polityce ochrony prywatności, informacji o polityce prywatności lub oświadczeniu o ochronie prywatności(7).
25. Treść i zakres obowiązku informacyjnego określono w art. 13 i 14 RODO. Artykuł 13 reguluje informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą (bezpośrednie zbieranie danych), natomiast w art. 14 uregulowano informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą (pośrednie zbieranie danych)(8). Informacje podawane na podstawie tych dwóch przepisów w znacznym stopniu się pokrywają(9).
26. Jeżeli chodzi o pośrednie zbieranie danych, art. 14 ust. 1 RODO w „katalogu informacji standardowych”(10) zawiera informacje o tożsamości administratora danych, celach przetwarzania, odbiorcach danych i możliwości przekazywania danych odbiorcy w państwie trzecim. Wśród dodatkowych informacji niezbędnych do zapewnienia rzetelnego i przejrzystego przetwarzania w art. 14 ust. 2 RODO wymieniono wprost okres przechowywania danych osobowych, prawnie uzasadnione interesy realizowane przez administratora(11) czy też informacje o prawie żądania od administratora dostępu do danych osobowych, sprostowania lub usunięcia danych osobowych.
27. W odniesieniu do obowiązku informacyjnego spoczywającego na administratorze danych w przypadku pośredniego zbierania danych zgodnie z art. 14 RODO istnieją cztery odstępstwa, określone w jego ust. 5. Odstępstwem istotnym dla sprawy w postępowaniu głównym jest odstępstwo przewidziane w art. 14 ust. 5 lit. c), które zawiera „klauzulę otwierającą”(12). Administrator jest zwolniony z obowiązku informacyjnego, gdy – i w zakresie, w jakim – „pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą”.
28. Wersja anglojęzyczna art. 14 ust. 5 lit. c) RODO, jak również inne wersje językowe(13), nie zawierają wyraźnego wskazania przedmiotu „pozyskiwania lub ujawniania”. W szeregu innych wersji językowych znajduje się wyraźne odniesienie do pozyskiwania lub ujawniania „danych”(14). Zdaje się, że tylko wersja francuska odnosi się do pozyskiwania lub ujawniania „informacji”(15).
29. Ponieważ zaś wszystkim wersjom językowym danego aktu Unii zasadniczo przypisuje się tę samą wartość, należy, w przypadku rozbieżności między tymi wersjami, interpretować dany przepis z uwzględnieniem ogólnej systematyki i celu uregulowania, którego stanowi on część(16).
30. W tym względzie z ogólnej systematyki przepisów, których część stanowi art. 14 ust. 5 lit. c) RODO, wynika, że pozyskiwanie lub ujawnianie dotyczy danych osobowych (a nie informacji). Już z tytułu art. 14 wynika, że informacje są „podawane”, natomiast akt pozyskiwania dotyczy „danych osobowych”. Taka wykładnia znajduje potwierdzenie w motywie 61, który odnosi się do „danych osobowych” uzyskanych z innego źródła, a także w motywie 62, który odnosi się do utrwalenia lub ujawnienia „danych”. Co więcej, mając na uwadze szerokie znaczenie pojęcia „przetwarzania” w świetle art. 4 ust. 2 RODO, które to pojęcie oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych(17), „pozyskiwanie lub ujawnianie” należy zakwalifikować jako operację przetwarzania wykonywaną na danych osobowych.
31. Co się tyczy celu przepisów, których część stanowi art. 14 ust. 5 lit. c), założeniem leżącym u podstaw odnośnego odstępstwa wydaje się być to, że prawo Unii lub prawo państwa członkowskiego zastępuje obowiązek udzielenia informacji dotyczących pozyskiwania lub ujawniania danych normalnie ciążący na administratorze(18). Na mocy odpowiednich przepisów prawa osoby, których dane dotyczą, będą już miały wystarczającą wiedzę na temat pozyskania lub ujawnienia danych(19). Takie przepisy prawa, któremu podlega administrator danych, muszą wprost dotyczyć pozyskiwania lub ujawniania danych, a przedmiotowe pozyskiwanie lub ujawnianie powinno być obowiązkowe dla administratora danych(20).
32. Z powyższego wynika zatem jasno, że przedmiotem odstępstwa dotyczącego pozyskiwania lub ujawniania są dane osobowe.
33. To w świetle tych uwag zbadam następnie odstępstwo przewidziane w art. 14 ust. 5 lit. c) RODO w kontekście analizy pytań prejudycjalnych.
B. Pytanie pierwsze
34. W pytaniu pierwszym sąd odsyłający zmierza w istocie do ustalenia, czy art. 14 ust. 5 lit. c) RODO należy interpretować w ten sposób, że odstępstwo od ciążącego na administratorze danych obowiązku informacyjnego w stosunku do osoby, której dane dotyczą, ma zastosowanie wyłącznie do danych, które administrator wyraźnie pozyskał od innej osoby, z wyłączeniem danych wygenerowanych przez administratora w ramach jego własnego postępowania.
35. Pytanie to wynika z faktu, że w sprawie rozpoznawanej w postępowaniu głównym niektóre dane zawarte w zaświadczeniach COVID-19 nie zostały pozyskane przez inną organizację, lecz zostały wygenerowane przez delegaturę w Budapeszcie(21).
36. Należy zatem ustalić, czy termin „pozyskiwanie”, o którym mowa w art. 14 ust. 5 lit. c) RODO, wyklucza dane generowane przez administratora.
37. W celu udzielenia odpowiedzi na to pytanie należy na wstępie przypomnieć, że wykładnia przepisu prawa Unii wymaga uwzględnienia nie tylko jego brzmienia, lecz także kontekstu, w jaki się on wpisuje, oraz celów realizowanych przez akt, którego jest on częścią(22).
38. W odniesieniu do brzmienia art. 14 ust. 5 lit. c) RODO przepis ten nie przewiduje ograniczenia w stosunku do konkretnego rodzaju przetwarzania lub dokładnej metody pozyskiwania danych przez administratora danych. Dane mogą być pozyskiwane w drodze procedury technicznej, takiej jak generowanie danych przez administratora.
39. Szerokie rozumienie terminu „pozyskiwanie” znajduje potwierdzenie w motywie 62 RODO. W motywie tym posłużono się terminem „utrwalenie” danych, który – jak zauważył sąd odsyłający –odnosi się do szerszej grupy operacji przetwarzania, które mogą być dokonywane przez administratora danych. Artykułu 14 ust. 5 lit. c) nie można zatem interpretować w ten sposób, że ma on zastosowanie wyłącznie do danych pozyskanych od innego podmiotu, a nie do danych generowanych przez administratora.
40. Taka wykładnia art. 14 ust. 5 lit. c) RODO znajduje również potwierdzenie w kontekście, w którym występuje ten przepis i w świetle celów, których osiągnięciu służy.
41. W tym względzie należy zauważyć, że odstępstwa określone w art. 14 ust. 5 odnoszą się do ust. 1–4 tego samego artykułu. Zakres przedmiotowy art. 14 (którego część stanowi odnośne odstępstwo) zdefiniowano w sposób negatywny względem art. 13. Podczas gdy w art. 13 uregulowano informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą, w art. 14 uregulowano podawanie informacji w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą. Z powyższej dychotomii, w ramach której odróżnia się bezpośrednie i pośrednie zbieranie danych, wynika, że wszystkie przypadki, w których dane nie są pozyskiwane od osoby, której dane dotyczą, wchodzą w zakres przedmiotowy art. 14. Nie ma znaczenia, czy dane te są generowane przez administratora, o ile nie zostały pozyskane od osoby, której dane dotyczą. Ten szeroki zakres przedmiotowy art. 14 znajduje również potwierdzenie w motywie 61, który odnosi się do danych „uzyskanych z innego źródła”, to jest ze źródła innego niż osoba, której dane dotyczą.
42. Co więcej, jak zasadniczo wskazały Komisja i węgierski organ nadzorczy, zasady ustanowione w art. 13 i 14 RODO stanowią kompleksowy system regulujący obowiązek informacyjny w stosunku do osoby, której dane dotyczą, we wszystkich możliwych sytuacjach. Gdyby termin „pozyskiwanie” zawarty w art. 14 ust. 5 lit. c) RODO należało interpretować w ten sposób, że wyklucza on dane generowane przez administratora, wówczas przepis ten miałby zakres bardziej restrykcyjny niż art. 14, którego część stanowi.
43. Co się tyczy szczególnego celu odnośnego odstępstwa, jak przypomniano w uwagach wstępnych w niniejszej opinii, zwolnienie administratora z obowiązku informacyjnego opiera się na założeniu, że dana ustawa zastępuje obowiązek informacyjny ciążący zwykle na administratorze(23). Odstępstwo przewidziane w art. 14 ust. 5 lit. c) przyznaje państwom członkowskim pewien zakres uznania, aby mogły przewidzieć inny sposób informowania osoby, której dane dotyczą, oraz inny sposób rzetelnego i przejrzystego przetwarzania informacji niż przekazywanie informacji przez administratora na zasadzie indywidualnej. Odmienna droga prawna musi przy tym prowadzić do tego samego rezultatu. Ustawa zastępująca ciążący na administratorach obowiązek informacyjny musi umożliwić osobie, której dane dotyczą, sprawowanie kontroli nad jej danymi oraz wykonywanie praw przysługujących jej na mocy RODO(24).
44. Interpretowanie art. 14 ust. 5 lit. c) jako wykluczającego z zakresu jego stosowania operacji generowania danych przez administratora ograniczyłoby zakres uznania pozostawiony państwom członkowskim na podstawie przesłanki, która nie wydaje się istotna dla ochrony prawnie uzasadnionych interesów osoby, której dane dotyczą.
45. Co więcej, odmienna wykładnia, która wprowadzałaby wyjątek od odstępstwa określonego w art. 14 ust. 5 lit. c) w przypadku generowania danych przez administratora danych, wiązałaby się z ryzykiem dodatkowej warstwy komplikacji z perspektywy osoby, której dane dotyczą. Osoba, której dane dotyczą, musi być w stanie dowiedzieć się, z jakiego źródła otrzyma informacje o przetwarzaniu jej danych, jeżeli dane te nie są zbierane od niej samej. Odpowiedni przepis prawa musi czynić przetwarzanie przewidywalnym dla osoby, której dane dotyczą, we wszystkich takich sytuacjach(25).
46. Z powyższego wynika, że art. 14 ust. 5 lit. c) RODO należy interpretować w ten sposób, że odstępstwo od ciążącego na administratorze danych obowiązku informacyjnego w stosunku do osoby, której dane dotyczą, ma zastosowanie do wszystkich danych, których administrator nie pozyskał od tej osoby. Nie ma w tym względzie znaczenia, czy dane zostały wyraźnie pozyskane od innego podmiotu, czy też są generowane przez administratora w ramach jego własnego postępowania.
C. W przedmiocie pytania drugiego
47. W pytaniu drugim sąd odsyłający dąży w istocie do ustalenia, czy art. 77 ust. 1 RODO należy interpretować w ten sposób, że w kontekście postępowania w sprawie skargi organ nadzorczy jest uprawniony do zbadania, czy prawo państwa członkowskiego, któremu podlega administrator, przewiduje odpowiednie środki ochrony uzasadnionych interesów osoby, której dane dotyczą, do celów stosowania odstępstwa przewidzianego w art. 14 ust. 5 lit. c) tego rozporządzenia.
48. Należy w tym względzie przypomnieć, po pierwsze, że w myśl art. 77 ust. 1 RODO każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza to rozporządzenie(26).
49. Po drugie, w myśl art. 55 ust. 1 tego rozporządzenia, każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z tym rozporządzeniem na terytorium swojego państwa członkowskiego(27). Co więcej, zgodnie z art. 57 ust. 1 lit. a) RODO krajowe organy nadzorcze są odpowiedzialne za monitorowanie i egzekwowanie stosowania RODO.
50. Przepisy wymienione w dwóch powyższych punktach nie wyłączają ze sfery kompetencji krajowych organów nadzorczych warunków stosowania odstępstwa przewidzianego w art. 14 ust. 5 lit. c) RODO.
51. Zatem, jak zauważyły zasadniczo rząd węgierski i Komisja, w kontekście skargi złożonej na podstawie art. 77 ust. 1 RODO organy nadzorcze są uprawnione do sprawdzenia, czy spełniono wszystkie warunki określone w art. 14 ust. 5 lit. c). Jak wynika z art. 14 ust. 5 zdanie pierwsze, wszystkie przewidziane w nim odstępstwa mają zastosowanie, „gdy – i w zakresie, w jakim” spełnione są warunki tam wymienione.
52. W tym względzie organy nadzorcze muszą być uprawnione do zbadania w szczególności, po pierwsze, czy ustawa jest skierowana bezpośrednio do administratora danych i czy pozyskanie lub ujawnienie jest dla administratora obowiązkowe(28). Po drugie, organy nadzorcze muszą mieć też możliwość zbadania, czy ustawa, na którą powołuje się administrator, przewiduje „odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą” i czy administrator jest w stanie wykazać, że pozyskiwanie lub ujawnianie danych osobowych jest zgodne z tymi środkami(29).
53. Węgierski organ nadzorczy podnosi, że poddanie kontroli kwestii tego, czy prawo krajowe przewiduje odpowiednie środki ochrony prawnie uzasadnionych interesów osoby, której dane dotyczą, wykraczałoby poza zakres jego zadań i uprawnień wynikających odpowiednio z art. 57 i 58 RODO. Organ ten uważa, że wymienione przepisy nie przyznają organom nadzorczym uprawnień naprawczych w stosunku do prawa krajowego oraz że nie jest możliwe wykonywanie takich uprawnień w stosunku do administratora, który po prostu przestrzegał prawa krajowego.
54. W tym względzie należy podkreślić, że badanie przez krajowy organ nadzorczy, czy spełniono wszystkie przesłanki stosowania odstępstwa przewidzianego w art. 14 ust. 5 lit. c), nie obejmuje, jak słusznie zauważyła Komisja, badania ważności prawa krajowego. Organ nadzorczy bada jedynie, czy administrator danych ma prawo w danej sytuacji powołać się na odstępstwo w stosunku do konkretnej osoby, której dane dotyczą.
55. Do krajowego organu nadzorczego należy zatem ustosunkowanie się do skargi osoby, której dane dotyczą, i zgodnie z którą administrator danych nie powinien być zwolniony z obowiązku informacyjnego ze względu na fakt, że odpowiedni przepis prawa nie przewiduje odpowiednich środków ochrony prawnie uzasadnionych interesów osoby, której dane dotyczą.
56. Jeżeli krajowy organ nadzorczy dojdzie do wniosku, że skarga ta jest bezpodstawna, osoba, która wniosła skargę i kwestionuje to ustalenie, powinna, jak wynika z art. 78 RODO, mieć dostęp do sądowych środków ochrony prawnej umożliwiających jej zaskarżenie takiej decyzji przed sądami krajowymi.
57. Jeżeli krajowy organ nadzorczy uzna skargę za uzasadnioną i stwierdzi, że przesłanki odstępstwa nie zostały spełnione, jest on uprawniony, jak zasadniczo podniosły rząd węgierski i Komisja, do nakazania administratorowi zastosowania się do żądania osoby, której dane dotyczą. W takim przypadku administrator musi podać informacje zgodnie z art. 14 ust. 1–4.
58. W odpowiedzi na pytania na piśmie zadane przez Trybunał rząd czeski podniósł, że badanie odpowiedniego charakteru środków ochrony prawnie uzasadnionych interesów osoby, której dane dotyczą, nie jest możliwe, jeżeli prawo krajowe przewiduje – w sposób ukierunkowany – w odniesieniu do konkretnej sytuacji, wyjątek od obowiązku informacyjnego. Opierając się na wyroku Schrems(30), rząd ten zauważa w istocie, że badanie zgodności jednego źródła prawa z innym źródłem prawa należy do wyłącznej kompetencji sądów, a nie do organu administracyjnego.
59. W tym względzie należy przypomnieć, że jedną z głównych kwestii podniesionych w wyroku Schrems była kwestia dotycząca uprawnień przysługujących krajowym organom nadzorczym w zakresie rozpatrzenia roszczenia pewnej osoby w przedmiocie ochrony jej praw i wolności w odniesieniu do decyzji Komisji stwierdzającej, że państwo trzecie zapewnia odpowiedni stopień ochrony(31). Trybunał orzekł zasadniczo, że gdy krajowe organy nadzorcze analizują taką skargę, nie są one uprawnione do samodzielnego stwierdzenia nieważności tej decyzji(32). W przypadku gdy krajowy organ nadzorczy uzna, że zarzuty podniesione przez osobę, która złożyła skargę, są zasadne, organ ten powinien mieć możliwość uczestnictwa w postępowaniu sądowym(33).
60. Wydaje się jednak, że wyrok w sprawie Schrems nie ma bezpośredniego znaczenia dla kwestii uprawnień organów nadzorczych w odniesieniu do analizy odstępstwa przewidzianego w art. 14 ust. 5 lit. c) RODO. Na wstępie należy zauważyć, że w ramach tego badania organ nadzorczy nie ingeruje w nałożony na administratora danych prawny obowiązek pozyskiwania lub ujawniania danych osobowych. Innymi słowy, organ nadzorczy nie nakazuje administratorowi, by powstrzymał się od zastosowania ustawowego obowiązku pozyskiwania lub ujawniania, którym administrator danych pozostaje związany. Jak podniosły w istocie Komisja i rząd węgierski, w takiej sytuacji uprawnienie krajowego organu nadzorczego polega na nakazaniu administratorowi przedstawienia niezbędnych informacji na temat jego oświadczenia o ochronie prywatności(34), jeżeli nie są spełnione przesłanki zastosowania odnośnego odstępstwa. Taki nakaz, jak zauważono powyżej, nie narusza bowiem ważności aktu prawnego, któremu podlega administrator.
61. Uprawnienie organu nadzorczego do nakazania administratorowi podania informacji pozostaje bez uszczerbku dla uprawnienia tego organu, w sytuacji gdy uzna on rozpatrywany akt prawny za nieważny, do wszczęcia w związku z tym postępowania sądowego przewidzianego w prawie krajowym zgodnie z art. 58 ust. 5 RODO.
62. Ponadto na bardziej systemowym poziomie, jak zauważyły wszystkie zainteresowane strony, organ nadzorczy jest uprawniony do tego, by doradzić władzy ustawodawczej lub wykonawczej dokonanie zmiany odpowiedniego aktu prawnego, jeżeli ów organ uzna, że akt ten nie przewiduje odpowiednich środków służących ochronie prawnie uzasadnionych interesów osoby, której dane dotyczą. Należy w tym względzie przypomnieć, że zgodnie z art. 57 ust. 1 lit. c) RODO organy nadzorcze są odpowiedzialne za doradzanie parlamentowi narodowemu oraz rządowi i innym instytucjom i organom. Przysługują im też uprawnienia doradcze przewidziane w art. 58 ust. 3 lit. b) RODO.
63. Jak wynika z powyższego, art. 77 ust. 1 RODO należy interpretować w ten sposób, że w kontekście postępowania w sprawie skargi organ nadzorczy jest uprawniony do zbadania, czy spełniono wszystkie przesłanki określone w art. 14 ust. 5 lit. c) tego rozporządzenia. W szczególności jest on uprawniony do zbadania, czy prawo państwa członkowskiego, któremu podlega administrator, przewiduje odpowiednie środki w celu ochrony prawnie uzasadnionych interesów osoby, której dane dotyczą.
D. Pytanie trzecie
64. W pytaniu trzecim sąd odsyłający zmierza zasadniczo do ustalenia, czy art. 14 ust. 5 lit. c) RODO należy interpretować w ten sposób, że „odpowiednie środki”, o których mowa w tym przepisie, nakładają na ustawodawcę krajowego obowiązek transpozycji środków dotyczących bezpieczeństwa danych przewidzianych w art. 32 tego rozporządzenia.
65. W tym względzie należy przypomnieć z jednej strony, że możliwość zastosowania odstępstwa od obowiązku informacyjnego zgodnie z 14 ust. 5 lit. c) RODO zależy od wprowadzenia „odpowiednich środków” w celu ochrony prawnie uzasadnionych interesów osoby, której dane dotyczą. Z drugiej strony z art. 32 RODO wynika, że administrator i podmiot przetwarzający muszą wdrożyć „odpowiednie środki techniczne i organizacyjne”, aby zapewnić bezpieczeństwo przetwarzania.
66. Jednakże, jak podnosi Komisja, zakresy stosowania art. 14 i 32 są odmienne. Zakres „odpowiednich środków” należy badać w kontekście art. 14 RODO. Dlatego nie można określać jednej z przesłanek stosowania odstępstwa przewidzianego w art. 14 ust. 5 lit. c) poprzez transponowanie pojęcia „odpowiednich środków technicznych i organizacyjnych”, którym posłużono się w innym przepisie. Co więcej, w kontekście art. 32 RODO nie wydaje się istotne, czy to administrator podaje informacje, czy też pozyskanie lub ujawnienie jest przewidziane ustawą. W związku z tym przedmiot badania prowadzanego przez organ nadzorczy musi być ograniczony zakresem stosowania art. 14.
67. W art. 14 ust. 5 lit. c) RODO nie doprecyzowano, czym dokładnie są „odpowiednie środki”. Pojęcie to jest wystarczająco szerokie, aby objąć nim wszelkie środki, które ustawodawca uzna za konieczne i właściwe. Pojęcie „odpowiednich środków” należy interpretować zasadniczo, jak zauważa Komisja, w świetle zasady przejrzystości, o której mowa w art. 5 ust. 1 lit. a) RODO. W tym względzie należy wziąć pod uwagę okoliczność, że odpowiedni przepis prawa, jak wskazano w uwagach wstępnych niniejszej opinii(35), „zastępuje” obowiązek informacyjny ciążący normalnie na administratorze. Do ustawodawcy należy określenie odpowiednich środków, na przykład w zależności od kategorii pozyskanych danych i kontekstu, w jakim odbywa się przetwarzanie.
68. W odpowiedzi na pytanie zadane przez Trybunał rząd czeski podniósł, że zakres odpowiednich środków jest szerszy niż wykaz informacji zawarty w art. 14 ust. 1, 2 i 4 RODO.
69. Zgadzam się, że odpowiedni charakter środków nie może być oceniany wyłącznie w drodze „mechanicznego” porównania z obowiązkami informacyjnymi spoczywającymi na administratorze zharmonizowanymi przez RODO. Pozbawione sensu wydaje się wprowadzenie „klauzuli otwierającej” w art. 14 ust. 5 lit. c)(36) przy jednoczesnym ustanowieniu dokładnie tych samych obowiązków i niepozostawieniu ustawodawcy jakiegokolwiek zakresu uznania. Niemniej jednak odpowiedni przepis prawa musi zapewniać standard uczciwego i przejrzystego przetwarzania, który jest równoważny standardowi gwarantowanemu w art. 14 ust. 1–4(37). Aby osoba, której dane dotyczą, mogła ocenić ryzyko związane z pozyskaniem danych i ich przetwarzaniem(38), z prostej lektury odpowiednich przepisów prawa musi jasno wynikać, kto przetwarza dane, w jakim celu i w jaki sposób(39). Jak wskazałam powyżej(40), odmienna droga prawna musi prowadzić do tego samego rezultatu, który sprowadza się do umożliwienia osobie, której dane dotyczą, sprawowania kontroli nad jej danymi i wykonywania praw przysługujących jej na mocy RODO.
70. Wpływ na określenie „odpowiednich środków” w szczególnych okolicznościach przetwarzania ma też szczególna podstawa prawna przetwarzania. W tym względzie należy przypomnieć, że w świetle art. 6 ust. 1 lit. c) i e) RODO przetwarzanie to jest zgodne z prawem, jeżeli – i w zakresie, w jakim – jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze oraz gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym. W odniesieniu do takiego przetwarzania zgodnie z art. 6 ust. 2 państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów RODO w odniesieniu do przetwarzania poprzez dokładniejsze określenie szczegółowych wymogów przetwarzania i innych środków w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności(41). Ponadto zgodnie z art. 9 ust. 2 lit. i) RODO, jeżeli przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, prawo państwa członkowskiego (lub Unii) musi przewidywać odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą.
71. W przypadku postępowania głównego pozyskanie danych nakazano dekretem 60/2021, który, jak wynika z akt sprawy, został przyjęty na podstawie art. 6 ust. 1 lit. c) i e) oraz art. 9 ust. 2 lit. i) RODO. Rząd węgierski podnosi, że dekret 60/2021, poza ogólnymi gwarancjami, które mają zastosowanie na mocy ram prawnych przyjętych w celu zapewnienia zgodności przetwarzania z prawem, przewidywał dodatkowe zabezpieczenia. W tym względzie rząd ten wskazał, że jedna z tych gwarancji polega na tym, iż podwykonawcy wskazani we wspomnianym dekrecie są podmiotami należącymi do państwa i muszą przestrzegać ram prawnych w dziedzinie bezpieczeństwa danych mających zastosowanie do organów państwowych i organów administracji lokalnej. To do sądu odsyłającego należy zbadanie tych argumentów oraz ocena, czy prawo krajowe przewiduje odpowiednie środki w świetle powyższych rozważań.
72. W świetle powyższego jestem zdania, że art. 14 ust. 5 lit. c) RODO należy interpretować w ten sposób, że „odpowiednie środki”, o których mowa w tym przepisie, nie nakładają na ustawodawcę krajowego obowiązku transpozycji środków dotyczących bezpieczeństwa danych przewidzianych w art. 32 tego rozporządzenia.
V. Wnioski
73. W świetle całości powyższych rozważań proponuję, aby Trybunał odpowiedział na pytania prejudycjalne wystosowane przez Kúria (sąd najwyższy, Węgry) w następujący sposób:
1) Artykuł 14 ust. 5 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych)
należy interpretować w ten sposób, że odstępstwo od ciążącego na administratorze danych obowiązku informacyjnego w stosunku do osoby, której dane dotyczą, ma zastosowanie do wszystkich danych, których administrator nie pozyskał od tej osoby. Nie ma w tym względzie znaczenia, czy dane zostały wyraźnie pozyskane od innego podmiotu, czy też są generowane przez administratora w ramach jego własnego postępowania.
2) Artykuł 77 ust. 1 rozporządzenia 2016/679
należy interpretować w ten sposób, że w kontekście postępowania w sprawie skargi organ nadzorczy jest uprawniony do zbadania, czy spełniono wszystkie przesłanki określone w art. 14 ust. 5 lit. c) tego rozporządzenia. W szczególności jest on uprawniony do zbadania, czy prawo państwa członkowskiego, któremu podlega administrator, przewiduje odpowiednie środki w celu ochrony prawnie uzasadnionych interesów osoby, której dane dotyczą.
3) Artykuł 14 ust. 5 lit. c) rozporządzenia 2016/679
należy interpretować w ten sposób, że „odpowiednie środki”, o których mowa w tym przepisie, nie nakładają na ustawodawcę krajowego obowiązku transpozycji środków dotyczących bezpieczeństwa danych przewidzianych w art. 32 tego rozporządzenia.