OPINIA RZECZNIKA GENERALNEGO
PAOLA MENGOZZIEGO
przedstawiona w dniu 1 lutego 2018 r.(1)
Sprawa C‑25/17
Tietosuojavaltuutettu
przeciwko
Jehovan todistajat – uskonnollinen yhdyskunta
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Korkein hallinto‑oikeus (Finlandia)]
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa 95/46/WE – Zakres stosowania – Pojęcie czynności o czysto osobistym lub domowym charakterze – Dane zbierane i przetwarzane przez członków wspólnoty religijnej w ramach ich działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych – Wolność religii – Artykuł 10 Karty praw podstawowych Unii Europejskiej – Pojęcie zbioru danych – Pojęcie administratora danych osobowych
1. Czy wspólnota świadków Jehowy zobowiązana jest przestrzegać wymogów prawa Unii dotyczących ochrony danych osobowych w związku z tym, że jej członkowie, wykonując działalność kaznodziejską realizowaną poprzez odwiedzanie kolejnych gospodarstw domowych, mogą sporządzać notatki zawierające zapis treści przeprowadzonej rozmowy, a w szczególności informację na temat przekonań religijnych odwiedzanych osób? Taka jest w istocie kwestia będąca przedmiotem niniejszego wniosku o wydanie orzeczenia w trybie prejudycjalnym.
I. Ramy prawne
A. Prawo Unii
2. Jak wynika z motywu 12 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(2), „[z]asady ochrony muszą odnosić się do całokształtu przetwarzania danych osobowych przez każdą osobę, której działania podlegają przepisom prawa wspólnotowego; należy wyłączyć przetwarzanie danych dokonywane przez osobę fizyczną w wykonywaniu działań o charakterze wyłącznie osobistym lub domowym, jak np. korespondencja i przechowywanie spisów adresów”.
3. Zgodnie z motywem 27 dyrektywy 95/46 „[o]chrona osób fizycznych musi odnosić się zarówno do automatycznego przetwarzania danych, jak i ręcznego przetwarzania; zakres tej ochrony nie może w swym skutku być zależny od zastosowanych technik, ponieważ w przeciwnym razie wystąpiłoby poważne ryzyko obchodzenia zasad; niemniej odnośnie do ręcznego przetwarzania danych, niniejsza dyrektywa obejmuje jedynie zbiory danych, nie zaś niezorganizowane zbiory; w szczególności zawartość zbiorów musi być zorganizowana według określonych kryteriów dotyczących osób fizycznych, zapewniających łatwy dostęp do danych; zgodnie z definicją zawartą w art. 2 lit. c), poszczególne państwa członkowskie mogą określić różne kryteria określania części składowych zorganizowanego zestawu danych oraz różne kryteria dostępu do takiego zestawu; zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są zorganizowane według określonych kryteriów nie powinny w żadnych okolicznościach wchodzić w zakres niniejszej dyrektywy”.
4. Artykuł 2 dyrektywy 95/46 ma następujące brzmienie:
„Do celów niniejszej dyrektywy:
a) »dane osobowe« oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (»osoby, której dane dotyczą«); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość;
b) »przetwarzanie danych osobowych« (»przetwarzanie«) oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie;
c) »zbiór danych« (»zbiór«) oznacza każdy uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów, scentralizowanych, zdecentralizowanych lub rozproszonych funkcjonalnie lub geograficznie;
d) »administrator danych« oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych; jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe;
e) »przetwarzający« oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ przetwarzający dane osobowe w imieniu administratora danych;
[…]”.
5. Artykuł 3 dyrektywy 95/46 stanowi:
„1. Niniejsza dyrektywa stosuje się do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.
2. Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:
– w ramach działalności wykraczającej poza zakres prawa Wspólnoty, jak np. dane, o których stanowi tytuł V i VI Traktatu o Unii Europejskiej, a w żadnym razie do działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (łącznie z dobrą kondycją gospodarczą państwa, gdy działalność ta dotyczy spraw związanych z bezpieczeństwem państwa) oraz działalności państwa w obszarach prawa karnego,
– przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze”.
6. Artykuł 8 ust. 1 dyrektywy 95/46 stanowi, że „[p]aństwa członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak również przetwarzanie danych dotyczących zdrowia i życia seksualnego”. Dalej, ust. 2 lit. d) tego przepisu stanowi, że „[u]stęp 1 nie ma zastosowania w przypadku gdy […] przetwarzanie danych jest dokonywane w ramach legalnej działalności wspartej odpowiednimi gwarancjami przez fundację, stowarzyszenie lub inną instytucję nienastawioną na osiąganie zysku, której cele mają charakter polityczny, filozoficzny, religijny lub związkowy, pod warunkiem że przetwarzanie danych odnosi się wyłącznie do członków tej instytucji lub osób mających z nią regularny kontakt w związku z jej celami oraz, że dane nie zostaną ujawnione osobie trzeciej bez zgody osób, których dane dotyczą […]”.
B. Prawo krajowe
7. Dyrektywa 95/46 została przetransponowana do prawa fińskiego przez henkilötietolaki 523/1999 (ustawę 523/1999 o danych osobowych).
8. Artykuł 3 ust. 3 ustawy o danych osobowych definiuje zbiór danych osobowych jako „zestaw danych o charakterze osobowym zawierający informacje pogrupowane ze względu na ich przeznaczenie, przetwarzane całkowicie lub częściowo przy pomocy środków zautomatyzowanych, lub które są zorganizowane przy pomocy fiszek, rejestrów lub w inny podobny sposób umożliwiający odnajdywanie danych osobowych w sposób łatwy i bez ponoszenia nadmiernych kosztów”.
9. Artykuł 11 ustawy o danych osobowych zakazuje przetwarzania danych wrażliwych, do których należą dane ujawniające przekonania religijne. Artykuł 12 ustawy o danych osobowych stanowi jednakże, iż przetwarzanie takich danych jest dopuszczalne, gdy dane ujawniające przekonania religijne są zbierane w ramach działalności stowarzyszeń lub innych podmiotów reprezentujących takie przekonania, o ile dane dotyczą członków rzeczonych stowarzyszeń lub podmiotów albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i o ile dane te nie są udostępniane osobom trzecim bez zgody osoby, której dane dotyczą.
10. Artykuł 44 ustawy o danych osobowych stanowi, że komisja ds. ochrony danych może, na wniosek generalnego inspektora ochrony danych, zakazać przetwarzania danych osobowych, które narusza tę ustawę lub przepisy i zalecenia wydane na jej podstawie, oraz wyznaczyć zainteresowanym termin na usunięcie niezgodnego z prawem działania lub zaniechania.
II. Postępowanie główne, pytania prejudycjalne i postępowanie przed Trybunałem
11. W dniu 17 września 2013 r. fińska komisja ds. ochrony danych (zwana dalej „komisją”) wydała na wniosek Tietosuojavaltuutettu (generalnego inspektora ochrony danych, strona skarżąca w postępowaniu głównym) decyzję zakazującą wspólnocie religijnej świadków Jehowy (strona pozwana w postępowaniu głównym, zwana dalej „wspólnotą”) zbierania i innego przetwarzania danych osobowych w ramach działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych, o ile nie są spełnione określone prawem warunki przetwarzania danych osobowych wynikające z ustawy o danych osobowych. Komisja uznała tym samym, że wspólnota i jej członkowie są administratorami danych w rozumieniu ustawy 523/1999, odpowiedzialnymi za przetwarzanie wrażliwych danych osobowych. Decyzja nakazywała wspólnocie zastosowanie się do niej w terminie sześciu miesięcy.
12. Wspólnota zaskarżyła tę decyzję do sądu pierwszej instancji, podnosząc, że chodzi o przetwarzanie danych dokonywane na potrzeby ściśle prywatne w rozumieniu ustawy o danych osobowych. Wyrokiem z dnia 18 grudnia 2014 r. sąd uchylił decyzję komisji, uznając, że wspólnota nie dopuściła się niezgodnego z prawem przetwarzania danych osobowych.
13. Generalny inspektor ochrony danych wniósł do sądu odsyłającego skargę, żądając uchylenia wyroku z dnia 18 grudnia 2014 r.
14. Sąd odsyłający opisuje działalność członków wspólnoty w następujący sposób. Członkowie ci, w ramach wykonywanej przez nich działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych, sporządzają zapiski ze spotkań z nieznanymi im co do zasady osobami. Dane są zbierane dla pamięci, aby odnaleźć informacje użyteczne na potrzeby późniejszej wizyty. Odwiedzane w ten sposób osoby, których dane są ujmowane w zapiskach sporządzanych przez członków wspólnoty, nie są informowane o zbieraniu ani o przetwarzaniu ich danych osobowych. Dane są gromadzone na nośniku w postaci rejestru lub fiszek. Przedmiotowe dane to nazwisko, adres oraz podsumowanie treści rozmowy, która dotyczy między innymi przekonań religijnych i stosunków rodzinnych. Zdaniem sądu odsyłającego działalność kaznodziejska jest zorganizowana przez wspólnotę w taki sposób, że wspólnota sporządza mapy stref i dzieli sektory pomiędzy swoich członków na potrzeby prowadzenia ewangelizacji. Zbory prowadzą rejestry na temat głosicieli, zawierające liczbę rozdanych przez nich publikacji oraz rozliczenie czasu poświęconego przez każdego członka na działalność kaznodziejską.
15. W celu rozpowszechnienia instrukcji dotyczących sporządzania zapisków wspólnota wykorzystywała już wydawane własnym staraniem czasopismo(3). Początkowo dane były zbierane z użyciem formularzy, jednakże w następstwie zalecenia generalnego inspektora ochrony danych w tym względzie wspólnota zaprzestała nakłaniać do ich stosowania. Poza tym zbory wspólnoty dysponują listą osób, które oświadczyły, że nie życzą sobie wizyt składanych przez członków rzeczonej wspólnoty, zwaną „listą zakazów”. Zdaniem generalnego inspektora ochrony danych ta lista wydaje się zgodna z ustawą o danych osobowych.
16. Generalny inspektor ochrony danych podnosi przed sądem odsyłającym, że dane zbierane przez członków wspólnoty w ramach ich działalności kaznodziejskiej stanowią zbiór danych, ponieważ mają to samo przeznaczenie, a ich utrwalenie dokonywane jest po to, by służyły jako konspekt podczas następnej wizyty. Przetwarzanie danych od momentu sporządzenia poszczególnych zapisków podlega ścisłemu kierownictwu i jest organizowane przez samą wspólnotę, która sprawuje rzeczywistą kontrolę nad zbieraniem i przetwarzaniem danych. Wspólnota i jej członkowie, którzy w ramach działalności kaznodziejskiej sporządzają poszczególne zapiski, powinni być łącznie uznawani za „administratora danych”.
17. Wspólnota utrzymuje ze swej strony, że działalność kaznodziejska, w trakcie której w danym przypadku członek wspólnoty sporządza zapiski, należy do indywidualnych praktyk religijnych. Sporządzone w ten sposób zapiski mają wyłącznie osobisty charakter. Do sporządzenia zapisków i następującego ewentualnie w jego wyniku przetwarzania zebranych danych dochodzi bowiem niezależnie od istnienia wspólnoty, która nie sprawuje żadnej kontroli, chociaż przyznaje, że formułuje zalecenia i udziela duchowych instrukcji odnoszących się do obowiązku uczestnictwa każdego z członków w działalności ewangelizacyjnej. Jednakże zapiski członków nie są przekazywane wspólnocie i nie ma ona do nich dostępu. Nie istnieje system porządkujący dane, umożliwiający wyszukiwanie. Wspólnota nie ma wiedzy o tym, którzy z jej członków po zakończeniu wizyty sporządzają zapiski. Zbieranie danych dotyczy wyłącznie tych danych, które są dostępne w źródłach publicznych, takich jak książka telefoniczna, i które są niszczone, kiedy okazuje się, że nie są już potrzebne. Dane zbierane wyłącznie z własnej, osobistej inicjatywy członków nie stanowią zbioru danych, a wspólnota nie może być uznawana za administratora danych osobowych. Taka sama jest zresztą ocena władz duńskich, niderlandzkich i norweskich, według których rozpatrywana w postępowaniu głównym działalność bądź nie jest objęta zakresem stosowania krajowej ustawy regulującej zbieranie i przetwarzanie danych osobowych, bądź nie jest sprzeczna z taką ustawą.
18. Zdaniem sądu odsyłającego w pierwszej kolejności należy zatem określić zakres stosowania ustawy o danych osobowych, który odpowiada zakresowi stosowania dyrektywy 95/46(4). W świetle orzecznictwa Trybunału działalność polegająca na zbieraniu i przetwarzaniu danych osobowych prowadzona w ramach praktyki religijnej, takiej jak działalność kaznodziejska, jak się wydaje, nie podlega wyłączeniu przewidzianemu w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46, jednakże pozostaje niepewność co do kwestii, czy działalność kaznodziejska może zostać uznana za czynność o czysto osobistym lub domowym charakterze w rozumieniu art. 3 ust. 2 tiret drugie dyrektywy 95/46. Na potrzeby dokonania tej oceny sąd odsyłający zastanawia się nad znaczeniem wskazówek zawartych w motywie 12 dyrektywy 95/46, w sytuacji gdy zbierane dane, jak się zdaje, wykraczają poza te, które są zwykle zbierane na potrzeby prowadzenia notatnika z adresami, głównie dlatego, że mogą to być dane wrażliwe oraz że dotyczą osób obcych dla członków, mając następnie na względzie uściślenie zawarte w motywie 18 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawieswobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE(5), oraz wreszcie, rolę, jaką odgrywa wspólnota. Sąd odsyłający zakłada, że określenie zakresu stosowania art. 3 ust. 2 tiret drugie dyrektywy 95/46 będzie wymagało wyważenia z jednej strony podstawowego prawa do poszanowania życia prywatnego, a z drugiej strony nie mniej podstawowego prawa do wolności religii, którego sposobem wyrazu jest działalność kaznodziejska.
19. W drugiej kolejności sąd odsyłający zastanawia się nad pojęciem „zbioru danych” w rozumieniu art. 2 lit. c) dyrektywy 95/46, zważywszy, że jeżeli rozpatrywana w postępowaniu głównym działalność nie podlega wyłączeniu zawartemu w art. 3 ust. 2 tiret drugie rzeczonej dyrektywy, dyrektywa ta, w przypadku braku zautomatyzowanego przetwarzania omawianych danych, znajdzie zastosowanie wyłącznie wówczas, gdy dane te będą zawarte w „zbiorze danych”. Sąd ten podkreśla w tym kontekście wspólny cel, jakiemu służą zapiski członków, mianowicie pełnienie funkcji konspektu i ułatwianie wyszukiwania danych osób przy okazji następnej wizyty.
20. Wreszcie, w trzeciej kolejności sąd odsyłający zastanawia się nad kwestią, czy wspólnota samodzielnie, czy też łącznie z jej członkami może być uznana za „administratora danych” w rozumieniu art. 2 lit. d) dyrektywy 95/46, skoro, jak się wydaje, sprawuje ona rzeczywistą kontrolę nad zbieraniem danych, chociaż nie istnieją aktualnie pochodzące od niej zlecenia lub pisemne instrukcje. Pojęcie „administratora danych”(6) jest, jak się wydaje, definiowane szeroko w orzecznictwie Trybunału, przy czym sąd odsyłający podkreśla w szczególności, że mimo iż wspólnota być może nie ma dostępu do zebranych danych, jednakże zachęca ona do działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych, a w przeszłości udzielała swoim członkom wskazówek odnośnie do zbierania danych i mogła dostarczać im w tym celu formularze.
21. W tych okolicznościach Korkein hallinto-oikeus (najwyższy sąd administracyjny) postanowił zawiesić postępowanie i postanowieniem odsyłającym, które wpłynęło do sekretariatu w dniu 19 stycznia 2017 r., zwrócił się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy przewidziane w art. 3 ust. 2 [tiret pierwsze i drugie] dyrektywy [95/46] wyjątki dotyczące zakresu stosowania tej dyrektywy powinny być interpretowane w ten sposób, że dokonywane przez członków wspólnoty religijnej zbieranie i inne przetwarzanie danych osobowych mające miejsce w związku działalnością kaznodziejską realizowaną poprzez odwiedzanie kolejnych gospodarstw domowych nie jest objęte zakresem stosowania tej dyrektywy? Jakie znaczenie dla oceny możliwości stosowania […] dyrektywy [95/46] ma z jednej strony okoliczność, że działalność kaznodziejska, w ramach której zbierane są te dane, jest organizowana przez wspólnotę religijną i jej zbory, a z drugiej strony, że stanowi ona jednocześnie indywidualną praktykę religijną członków wspólnoty religijnej?
2) Czy definicja pojęcia »zbioru danych« zawarta w art. 2 lit. c) dyrektywy [95/46] powinna być, uwzględniając motywy 26 i 27 tej dyrektywy, interpretowana w ten sposób, że całość danych osobowych, które nie są zbierane w sposób zautomatyzowany w związku z opisaną powyżej działalnością kaznodziejską realizowaną poprzez odwiedzanie kolejnych gospodarstw domowych (nazwisko i adres oraz inne możliwe dane i charakterystyki dotyczące osoby):
a) nie stanowi takiego zbioru danych z tego powodu, że kartoteki lub rejestry lub też inne systemy porządkujące służące wyszukiwaniu nie są wyraźnie objęte definicją zawartą w fińskiej ustawie o danych osobowych, lub
b) stanowi taki zbiór danych z tego powodu, że z danych tych, uwzględniając ich przeznaczenie, w rzeczywistości łatwo i bez nadmiernych kosztów mogą zostać uzyskane informacje potrzebne do dalszego wykorzystania, tak jak jest to przewiedziane w fińskiej ustawie o danych osobowych?
3) Czy zwrot »który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych« zawarty w art. 2 lit. d) dyrektywy [95/46] należy interpretować w ten sposób, że wspólnota religijna, która organizuje działania, w ramach których zbierane są dane osobowe (między innymi przez podział obszarów aktywności osób prowadzących działalność kaznodziejską, przez obserwację działalności kaznodziejskiej oraz utrzymywanie rejestrów z osobami nieżyczącymi sobie wizyt głosicieli) w odniesieniu do tej działalności jej członków może być uznana za administratora danych, chociaż wspólnota religijna wskazuje, że jedynie poszczególni głosiciele mają dostęp do zgromadzonych informacji?
4) Czy wskazany art. 2 lit. d) [dyrektywy 95/46] powinien być intepretowany w ten sposób, że wspólnota religijna może być jedynie wówczas uznana za administratora danych, gdy stosuje inne szczególne środki, jak zlecenia lub pisemne instrukcje, za pomocą których kieruje zbieraniem danych, czy też wystarczy, że wspólnota religijna odgrywa faktyczną rolę w kierowaniu działaniami swoich członków? […]”.
22. W niniejszej sprawie uwagi na piśmie złożyły pozwana w postępowaniu głównym, rządy fiński, czeski i włoski oraz Komisja Europejska.
23. Podczas rozprawy przed Trybunałem, która odbyła się w dniu 28 listopada 2017 r., generalny inspektor ochrony danych, strona pozwana w postępowaniu głównym, rząd fiński oraz Komisja przedstawili uwagi ustne.
III. Analiza
A. W przedmiocie właściwości Trybunału
24. Dla niniejszego odesłania prejudycjalnego charakterystyczne jest stanowcze kwestionowanie przez pozwaną w postępowaniu głównym okoliczności faktycznych ustalonych przez generalnego inspektora ochrony danych i przedstawionych przez sąd odsyłający. Wspólnota podnosi, powołując się na wyrok Meilicke(7), że Trybunał nie powinien udzielać odpowiedzi na pytania przedstawione przez Korkein hallinto-oikeus (najwyższy sąd administracyjny).
25. Dla przypomnienia, w wyroku tym Trybunał nakreślił „zasady gry” w dialogu prejudycjalnym. I tak, chociaż Trybunał co do zasady jest obowiązany udzielić odpowiedzi na pytania przedstawione przez sąd krajowy, który to sąd ma bezpośrednią wiedzę o okolicznościach faktycznych sprawy, a więc może najlepiej ocenić, czy dla wydania przezeń wyroku niezbędne jest orzeczenie w trybie prejudycjalnym, Trybunał może jednak zweryfikować swoją właściwość, aby upewnić się, że orzeczenie w trybie prejudycjalnym w istocie przyczyni się nie do uzyskania opinii doradczych w odniesieniu do pytań o charakterze ogólnym czy hipotetycznym, lecz do sprawowania wymiaru sprawiedliwości w państwach członkowskich. Do sądu krajowego należy wówczas ustalenie stanu faktycznego sprawy w sposób umożliwiający zapoznanie się przez Trybunał ze wszystkimi okolicznościami faktycznymi i prawnymi, które mogą być istotne dla wykładni prawa Unii, o którą się do niego zwrócono(8). W wyroku Meilicke(9) Trybunał uznał właśnie, że zwrócono się do niego o rozstrzygnięcie problemu o charakterze hipotetycznym, gdyż nie zostały mu przedstawione okoliczności faktyczne lub prawne niezbędne do udzielenia użytecznej odpowiedzi na zadane pytania, i umorzył postępowanie.
26. Powołując się na to orzecznictwo, strona pozwana w postępowaniu głównym ma świadomość, że co do zasady istnieje mocne domniemanie znaczenia dla sprawy pytań prejudycjalnych przedstawionych przez sąd odsyłający oraz że Trybunał odmawia udzielenia odpowiedzi na nie tylko w wyjątkowych przypadkach(10). Akta przedłożone Trybunałowi w niniejszej sprawie, a w szczególności postanowienie odsyłające, nie mają braków tego rodzaju, że Trybunał przekroczyłby swoje uprawnienia, gdyby zdecydował się odpowiedzieć na przedstawione przez sąd odsyłający pytania(11). W każdym razie zadaniem tego sądu jest ustalenie w sposób ostateczny okoliczności faktycznych, jeżeli wchodzi to w zakres jego kompetencji(12). Okoliczności przedstawione w postanowieniu odsyłającym są w każdym razie najzupełniej wystarczające, aby Trybunał mógł się wypowiedzieć z pełną wiedzą o stanie faktycznym(13).
B. W przedmiocie pytań prejudycjalnych
1. W przedmiocie pytania pierwszego
27. Poprzez swoje pierwsze pytanie sąd odsyłający zmierza do ustalenia, czy działalność członków wspólnoty świadków Jehowy może nie podlegać zasadom przewidzianym w dyrektywie 95/46 na podstawie, po pierwsze, art. 3 ust. 2 tiret pierwsze rzeczonej dyrektywy. W tym względzie pozwana w postępowaniu głównym utrzymuje, iż rozpatrywana w postępowaniu głównym działalność, która wiąże się z wolnością religii oraz prywatnego i pokojowego uzewnętrzniania religii, podlega temu wyłączeniu. Po drugie, sąd odsyłający zadaje sobie pytanie, czy działalność ta może nie podlegać zasadom przewidzianym w dyrektywie 95/46 na podstawie art. 3 ust. 2 tiret drugie, który wyłącza z zakresu stosowania dyrektywy przetwarzanie danych osobowych „przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze”(14).
a) Działalność kaznodziejska nie jest wyłączona z zakresu stosowania dyrektywy 95/46 na podstawie art. 3 ust. 2 tiret pierwsze tej dyrektywy
28. Artykuł 3 ust. 2 tiret pierwsze dyrektywy 95/46 stanowi, że z zakresu stosowania dyrektywy 95/46 wyłączone jest przetwarzanie danych osobowych „w ramach działalności wykraczającej poza zakres prawa Wspólnoty, jak np. dane, o których stanowi tytuł V i VI Traktatu o Unii Europejskiej, a w żadnym razie do działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (łącznie z dobrą kondycją gospodarczą państwa, gdy działalność ta dotyczy spraw związanych z bezpieczeństwem państwa) oraz działalności państwa w obszarach prawa karnego”. Pozwana w postępowaniu głównym prezentuje tezę, zgodnie z którą co do zasady działalność kaznodziejska, w ramach której dochodzi do zbierania i przetwarzania danych osób odwiedzanych przez członków wspólnoty, jest działalnością, która nie wchodzi w zakres stosowania prawa Unii w rozumieniu tego przepisu(15). Rząd włoski dochodzi ze swej strony do tego samego wniosku co pozwana w postępowaniu głównym, wywodząc swoją argumentację z istnienia art. 17 TFUE, który ustanawia wyłączną kompetencję państw członkowskich, jeżeli chodzi o regulacje dotyczące organizacji religijnych.
29. Należy przede wszystkim przypomnieć, że z utrwalonego orzecznictwa Trybunału wynika, iż dyrektywa 95/46 określa zakres jej stosowania w sposób „bardzo szeroki”, w szczególności nie uzależniając stosowania reguł ochrony od istnienia faktycznego związku między przetwarzaniem danych a swobodnym przepływem między państwami członkowskimi(16). Poza tym Trybunał przypomniał również, że dyrektywa nie przewiduje jakiegokolwiek dodatkowego ograniczenia jej zakresu stosowania oprócz ograniczeń zawartych w jej art. 3(17). Mając na względzie cel dyrektywy 95/46, jakim jest zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności, a szczególnie prawa do prywatności w zakresie przetwarzania danych osobowych(18), ochrona ta wymaga, aby „odstępstwa od ochrony danych osobowych i jej ograniczenia były stosowane jedynie wtedy, gdy jest to absolutnie konieczne”(19). Artykuł 3 ust. 2 tiret pierwsze dyrektywy 95/46, jak każda klauzula derogacyjna, powinien podlegać ścisłej wykładni.
30. Trybunał orzekł ponadto, że „[r]odzaje działalności wymienione tytułem przykładu w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46 […] stanowią w każdym razie działania właściwe państwom i władzom państwowym, obce dziedzinom działalności jednostek”(20). Trybunał sprecyzował następnie, że rzeczone rodzaje działalności „mają na celu określenie zakresu przewidzianego w [tym przepisie] wyłączenia w taki sposób, że to wyłączenie ma zastosowanie wyłącznie do takich działalności, które zostały w nim wyraźnie wymienione i które nie mogą być zaliczone do tego samego rodzaju (eiusdem generis)”(21).
31. Trybunał orzekł przede wszystkim w sprawie dotyczącej działalności prowadzonej przez katechetkę w parafii w Szwecji, która to działalność polegała na stworzeniu strony internetowej dostarczającej informacji parafianom przygotowującym się do bierzmowania, że „[d]ziałalność niezarobkowa lub religijna, taka jak prowadzona przez [stronę skarżącą ówczesnego postępowania głównego], nie może być traktowana na równi z rodzajami działalności wymienionymi w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46 i nie jest zatem objęta tym wyłączeniem”(22). Rzecznik generalny A. Tizzano w opinii wydanej w tej sprawie miał przeciwne zdanie, jednakże nie z powodu charakteru religijnego lub kontekstu, w którym strona w postępowaniu głównym prowadziła swoją działalność, lecz z powodu braku celu zarobkowego, braku elementu transgranicznego i stosunku pracy, innymi słowy – braku jakiegokolwiek związku pomiędzy korzystaniem z gwarantowanych traktatem swobód podstawowych a rzeczoną działalnością(23). W wyroku Lindqvist(24) Trybunał nie tylko orzekł, że ze względu na główny cel, jakiemu służy dyrektywa 95/46, przed zastosowaniem tej dyrektywy nie było konieczne sprawdzanie, czy rozpatrywana działalność bezpośrednio narusza swobodny przepływ między państwami członkowskimi(25), lecz przyznał on także, przynajmniej pośrednio, że działalność prowadzona przez stronę skarżącą w postępowaniu głównym, polegająca na pełnym korzystaniu przez nią z wolności religii, należy w większym stopniu do „dziedziny działalności jednostek” niż do „działań właściwych państwom i władzom państwowym”(26), a tylko do takich działań ma zastosowanie wyłączenie przewidziane w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46.
32. Czy wprowadzenie przez traktat z Lizbony art. 17 TFUE stanowi nową okoliczność, która może zmienić kierunek wykładni przyjęty przez Trybunał w wyroku Lindqvist(27)?
33. Nie uważam, aby tak było.
34. Warto w tym względzie przypomnieć, że w momencie gdy Trybunał wydał ten wyrok, jego uwagę musiał już zwrócić fakt, iż spór w postępowaniu głównym dotyczył działalności religijnej. Poza tym Trybunał miał wiedzę o istnieniu deklaracji nr 11 w sprawie statusu kościołów i organizacji niewyznaniowych(28), stanowiącej załącznik do traktatu z Amsterdamu, zgodnie z którą Unia już wtedy zobowiązywała się szanować status przyznany na mocy prawa krajowego kościołom i stowarzyszeniom lub wspólnotom religijnym w państwach członkowskich i nie naruszać tego statusu. Trudno byłoby twierdzić, że prawodawca zamierzał wyłączyć z zakresu stosowania dyrektywy 95/46, na podstawie art. 3 ust. 2 tiret pierwsze, działalność jednostek prowadzoną w związku z wolnością religii, skoro kilka przepisów dalej ustanowił szczególne zasady odnoszące się do przetwarzania danych przez organizację religijną(29). Można byłoby jednak zarzucić, że dyrektywa 95/46 jest wcześniejsza niż deklaracja nr 11 stanowiąca załącznik do traktatu z Amsterdamu. Jednakże, mimo wprowadzenia do traktatu art. 17 TFUE, którego powtórzeniem jest co do zasady motyw 165 rozporządzenia 2016/679, należy przyznać, że prawodawca Unii był konsekwentny i nie dostrzegał sprzeczności pomiędzy uznaniem ustalonego przez państwa członkowskie statusu wspólnot religijnych a potwierdzeniem poddania przetwarzania danych przez te wspólnoty szczególnym zasadom(30). W każdym razie nie dostrzegam w wyłączeniu działalności religijnej, przynajmniej takiej jak ta rozpatrywana w postępowaniu głównym, z zakresu stosowania art. 3 ust. 2 tiret pierwsze dyrektywy 95/46 jakiegokolwiek zagrożenia dla określonego przez państwa członkowskie „statusu” wspólnot religijnych(31).
35. Z powyższych względów wyłączenie przewidziane w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46 nie dotyczy działalności rozpatrywanej w postępowaniu głównym.
b) Działalność kaznodziejska nie jest wyłączona z zakresu stosowania dyrektywy 95/46 na podstawie art. 3 ust. 2 tiret drugie tej dyrektywy
36. Zgodnie ze swoim literalnym brzmieniem art. 3 ust. 2 tiret drugie dyrektywy 95/46 przewiduje, że dyrektywa ta nie ma zastosowania do przetwarzania danych osobowych „przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze”(32).
37. Należy od razu odrzucić wykładnię zaproponowaną podczas rozprawy przez pozwaną w postępowaniu głównym, jakoby charakter osobisty lub domowy czynności, o których mowa w tym przepisie, należało oceniać z punktu widzenia osoby, której dane są zbierane. Ponieważ należący do wspólnoty głosiciele udają się do mieszkań „odwiedzanych” osób, omawiane czynności siłą rzeczy miałyby charakter domowy. Trybunał nigdy nie stosował takiego podejścia, gdy badał, czy dana czynność ma charakter osobisty lub domowy w rozumieniu art. 3 ust. 2 tiret drugie dyrektywy 95/46, przyjmując zawsze punkt widzenia osoby, która zbiera, lub szerzej, przetwarza dane osobowe(33).
38. Następnie należy przypomnieć, że poczynione powyżej ustalenie odnoszące się do konieczności ścisłej wykładni wyłączenia z zakresu stosowania dyrektywy 95/46 zawartego w art. 3 ust. 2 tiret pierwsze tej dyrektywy(34) dotyczy również wykładni drugiego tiret tej dyrektywy.
39. Zresztą z orzecznictwa Trybunału wynika, że użyteczne wyjaśnienia co do zakresu art. 3 ust. 2 tiret drugie dyrektywy 95/46 można znaleźć w jej motywie 12, w którym jako przykłady przetwarzania danych przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze wymienione zostały korespondencja i przechowywanie spisów adresów(35). Z powyższego wynika, że „to […] wyłączenie powinno być interpretowane jako obejmujące wyłącznie działania wchodzące w zakres życia prywatnego lub rodzinnego jednostki”(36), czyli „gdy [przetwarzanie] jest […] wykonywane w ramach sfery o czysto osobistym lub domowym charakterze, należącej do osoby, która dokonuje tego przetwarzania”(37). Trybunał stoi na stanowisku, że w sposób oczywisty nie ma to miejsca w przypadku przetwarzania danych osobowych „polegającego na ich opublikowaniu w Internecie w taki sposób, że staną się one dostępne dla nieograniczonej liczby osób”(38) lub „na przekazaniu zebranych danych nieograniczonej liczbie osób”(39). Zatem jakiekolwiek działania „skierowane poza sferę prywatną osoby dokonującej przetwarzania danych” nie mogą być uznane za działania o charakterze wyłącznie osobistym lub domowym w rozumieniu art. 3 ust. 2 tiret drugie dyrektywy 95/46(40).
40. Z okoliczności faktycznych przedstawionych Trybunałowi przez sąd odsyłający wynika, że działalność kaznodziejska, w trakcie której miałoby dochodzić do zbierania danych osobowych odwiedzanych osób, z pewnością wykracza poza sferę domową osoby przetwarzającej dane, ponieważ kaznodziejstwo z natury rzeczy polega na wchodzeniu w relację z osobami co do zasady nieznanymi i niewyznającymi wiary głosicieli. Inaczej niż na przykład sporządzanie spisu adresów, działalność kaznodziejska siłą rzeczy prowadzi do „konfrontacji” ze sferą zewnętrzną względem gospodarstwa domowego danej osoby i jej komórki rodzinnej. Także charakter zbieranych danych – w skład których wchodzą dane korzystające ze zwiększonej ochrony na podstawie dyrektywy 95/46(41) – przemawia za wyraźną odmiennością od przykładu podanego w motywie 12 dyrektywy 95/46.
41. Z tych samych okoliczności faktycznych wynika również, że opisana w pierwszym pytaniu prejudycjalnym rola pełniona przez wspólnotę religijną i jej zbory, polegająca na organizowaniu działalności kaznodziejskiej, siłą rzeczy prowadzi do wniosku, że dochodzi do przekroczenia nie tylko sfery domowej, lecz również sfery prywatnej osób wykonujących działalność kaznodziejską.
42. Mając na względzie wspólnotowy wymiar działalności kaznodziejskiej(42) oraz okoliczność, że działalność ta nieuchronnie prowadzi do tego, iż osoba, która przetwarza dane w tym kontekście, wykracza poza swoją sferę prywatną lub rodzinną, spotykając się – w ich domu – z osobami, które nie należą do kręgu jej najbliższych, zbieranie i przetwarzanie danych osobowych przez członków wspólnoty religijnej w ramach działalności kaznodziejskiej realizowanej poprzez odwiedzanie kolejnych gospodarstw domowych nie może być wyłączone z zakresu stosowania dyrektywy 95/46 na podstawie art. 3 ust. 2 tiret drugie tej dyrektywy.
43. Taka wykładnia w pełni odpowiada wymogowi ścisłej wykładni wyłączeń z zakresu stosowania dyrektywy 95/46 oraz ograniczenia tych wyłączeń do tego, co ściśle niezbędne, i jest całkowicie zgodna z celem, jakiemu służy ta dyrektywa, jakim jest zapewnienie wysokiego poziomu ochrony podstawowych praw i wolności osób fizycznych, a szczególnie ich prawa do prywatności w zakresie przetwarzania danych osobowych(43).
44. Należy jednakże sprawdzić, czy taka wykładnia nie narusza innych praw podstawowych, z którymi należy pogodzić prawo do ochrony prywatności i danych osobowych(44), oraz czy prowadzi ona do należytego wyważenia z jednej strony rzeczonej ochrony, a z drugiej strony wolności religii, której konsekwencję stanowi wolność działalności kaznodziejskiej. Chociaż Trybunał, orzekając, że przepisy dyrektywy 95/46 muszą być bezwzględnie interpretowane z punktu widzenia praw podstawowych gwarantowanych w Karcie praw podstawowych Unii Europejskiej (zwanej dalej „kartą”)(45), odnosił się jak dotąd wyłącznie do art. 7 i 8 karty(46), przestrzeganie pozostałych jej postanowień stanowi równie oczywisty wymóg.
45. Artykuł 10 ust. 1 karty stanowi, że „[k]ażdy ma prawo do wolności […] religii. Prawo to obejmuje wolność zmiany religii lub przekonań oraz wolność uzewnętrzniania, indywidualnie lub wspólnie z innymi, publicznie lub prywatnie, swej religii lub przekonań poprzez uprawianie kultu, nauczanie, praktykowanie i uczestniczenie w obrzędach”. Z wyjaśnienia odnoszącego się do art. 10 karty(47) wynika, że prawo to odpowiada prawu zagwarantowanemu w art. 9 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności, podpisanej w Rzymie w dniu 4 listopada 1950 r. (zwanej dalej „EKPC”), oraz że zgodnie z art. 52 ust. 3 karty ma ono takie samo znaczenie i ten sam zakres jak prawo przyznane przez EKPC. Z tego względu wolność religii może podlegać jedynie takim ograniczeniom, jakie są przewidziane w art. 9 ust. 2 EKPC, z którego wynika, że jakiekolwiek ograniczenie musi być przewidziane przez ustawę oraz musi stanowić środek niezbędny w społeczeństwie demokratycznym z uwagi na interesy bezpieczeństwa publicznego, ochronę porządku publicznego, zdrowia i moralności lub ochronę praw i wolności innych osób.
46. Pierwszą wskazówką, którą można wywieść z art. 9 ust. 2 EKPC, jest to, że wbrew wnioskom, do jakich dochodzi pozwana w postępowaniu głównym w wyniku swojej argumentacji, wolność religii i jej konsekwencja, jaką jest wolność działalności kaznodziejskiej, mimo że są to wolności podstawowe, nie stanowią jednak swego rodzaju „metapraw podstawowych”, zajmujących hierarchicznie wyższą pozycję w stosunku do innych praw i niedopuszczających żadnych ograniczeń. Zatem pogodzenie wolności działalności kaznodziejskiej z ochroną prywatności jest nie tylko możliwe, lecz również konieczne w celu „ochrony praw i wolności innych osób”, jak nakazuje to postanowienie.
47. Jeżeli chodzi o wolność religii, Europejski Trybunał Praw Człowieka (zwany dalej „ETPC”) orzekł, że mimo iż „jest ona przede wszystkim kwestią sumienia, to zakłada ona również wolność uzewnętrzniania religii, indywidualnie i na gruncie prywatnym lub wspólnie z innymi, publicznie, w kręgu osób wyznających tę samą wiarę. Poza tym [ETPC] miał już sposobność potwierdzenia aspektu negatywnego praw przyznanych na mocy art. 9 EKPC, mianowicie wolności niewyznawania religii i nieuczestniczenia w praktykach religijnych”(48).
48. Nie wydaje mi się, aby działalność kaznodziejska realizowana poprzez odwiedzanie kolejnych gospodarstw domowych stanowiła jako taka zagrożenie dla negatywnego aspektu wolności religii zdefiniowanego przez ETPC. Dodam, że według mnie nie może istnieć negatywny aspekt swobody działalności kaznodziejskiej, ponieważ działalność ta obejmuje w sposób nieunikniony próby przekonania osoby, która nie wyznaje tej samej wiary lub jest w ogóle niewierząca. Jeśli mogę tak powiedzieć, wolność działalności kaznodziejskiej zakłada nieodzownie istnienie „docelowej” publiczności, której nie można przyznać negatywnego prawa do niekierowania do niej kazań oraz do niepodejmowania w stosunku do niej prób nawracania, ponieważ pozbawiłoby to treści omawianą wolność i jej potencjalną konsekwencję, jaką jest wolność zmiany religii, która również podlega ochronie zarówno na podstawie art. 9 EKPC, jak i na podstawie art. 10 ust. 1 karty(49).
49. Nie wydaje mi się także, aby opisana przez sąd odsyłający działalność kaznodziejska realizowana poprzez odwiedzanie kolejnych gospodarstw domowych wykraczała poza granice określone przez ETPC, który zakazuje jedynie nagannego prozelityzmu(50) lub prozelityzmu o wątpliwych walorach(51).
50. Aby wykładnia art. 3 ust. 2 tiret drugie dyrektywy 95/46 zaproponowana w pkt 42 niniejszej opinii uległa zmianie w wyniku uwzględnienia art. 9 EKPC, a w związku z tym art. 10 ust. 1 karty, należałoby stwierdzić, że poddanie działalności rozpatrywanej w postępowaniu głównym zasadom rzeczonej dyrektywy stanowi niedopuszczalną lub nieproporcjonalną ingerencję w wolność działalności kaznodziejskiej. Nie dostrzegam takiej ingerencji w rozpatrywanej tu sprawie, ponieważ sporządzanie zapisków i ich przekazywanie w ramach wspólnoty religijnej w żadnym razie nie jest co do istoty tym samym, co działalność kaznodziejska. Gdyby jednak nawet założyć, że dochodzi do takiej ingerencji, należałoby zweryfikować, czy została ona przewidziana przez ustawę i czy stanowi środek niezbędny w społeczeństwie demokratycznym z uwagi na słuszny interes związany z ochroną praw i wolności innych osób. Otóż zakładana ingerencja spowodowana wymogami przestrzegania przepisów dyrektywy 95/46 jest rzeczywiście przewidziana przez ustawę, ponieważ wynika ona wyraźnie z przepisów dyrektywy 95/46, a ze względów wymienionych powyżej jest niezbędna w społeczeństwie demokratycznym z uwagi na ochronę praw innych osób, w szczególności prawa do prywatności i prawa do ochrony danych osobowych odwiedzanych osób, które to prawa wymagają równej uwagi.
51. Z tego względu ochrona w oparciu o art. 10 ust. 1 karty nie może podważyć twierdzenia, zgodnie z którym prowadzona przez członków wspólnoty działalność kaznodziejska realizowana poprzez odwiedzanie kolejnych gospodarstw domowych nie ma charakteru wyłącznie osobistego lub domowego w rozumieniu art. 3 ust. 2 tiret drugie dyrektywy 95/46.
52. Z tych względów na pierwsze pytanie przedstawione przez sąd odsyłający należy odpowiedzieć w ten sposób, że działalność kaznodziejska realizowana poprzez odwiedzanie kolejnych gospodarstw domowych, taka jak ta rozpatrywana w postępowaniu głównym, nie jest wykonywaniem czynności o czysto osobistym lub domowym charakterze w rozumieniu art. 3 ust. 2 tiret drugie dyrektywy 95/46.
2. W przedmiocie pytania drugiego
53. Drugie pytanie prejudycjalne postawione przez sąd odsyłający wymaga z kolei, aby Trybunał dokonał analizy zakresu stosowania dyrektywy 95/46, rozpatrywanego tym razem z punktu widzenia jej art. 3 ust. 1, który stanowi, że dyrektywa „stosuje się do przetwarzania danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych”. Ponieważ wydaje się bezsporne, że przetwarzanie danych zbieranych przez członków wspólnoty nie jest, przynajmniej w części, zautomatyzowane, dyrektywa 95/46 znajdzie zastosowanie wyłącznie w przypadku zbioru danych zdefiniowanego w art. 2 lit. c) dyrektywy 95/46 jako „każdy uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów, scentralizowanych, zdecentralizowanych lub rozproszonych funkcjonalnie lub geograficznie”. Sąd odsyłający podnosi, że w świetle ustawy o danych osobowych brak kartotek lub rejestrów albo innego porównywalnego systemu umożliwiającego odnajdywanie danych uniemożliwia zakwalifikowanie danych przetwarzanych przez członków wspólnoty jako „zbioru danych”. Jednakże sąd ten zastanawia się nad znaczeniem, jakie dla takiego zakwalifikowania ma okoliczność, że z danych mogą zostać uzyskane z łatwością i bez nadmiernych kosztów informacje potrzebne do dalszego wykorzystania – przy czym obydwa kryteria są przewidziane w ustawie o danych osobowych.
54. Pozwana w postępowaniu głównym ponownie podkreśla wysoce teoretyczny charakter drugiego pytania, ponieważ nie zostało udowodnione, że zapiski są istotnie sporządzane przez członków wspólnoty w związku z ich działalnością kaznodziejską realizowaną poprzez odwiedzanie kolejnych gospodarstw domowych, co wynika z uzasadnienia wniosku o wydanie orzeczenia w trybie prejudycjalnym. Co do tego ponowionego zarzutu odsyłam do pkt 25 i nast. niniejszej opinii. Zgodnie z analizą sądu odsyłającego punktem wyjścia do dalszych rozważań jest założenie, że członkowie wspólnoty mogą sporządzać zapiski w trakcie rzeczonej działalności.
55. Należy skoncentrować rozważania na dyrektywie 95/46 oraz na zawartej w niej definicji pojęcia zbioru danych. Artykuł 2 lit. c) dyrektywy 95/46, którego treść jest dość enigmatyczna(52), należy odczytywać łącznie z motywem 27 tej dyrektywy, który wskazuje z jednej strony, że zakres tej ochrony nie może być zależny od zastosowanych technik, ponieważ w przeciwnym razie wystąpiłoby poważne ryzyko obchodzenia zasad, oraz z drugiej strony, że odnośnie do ręcznego przetwarzania danych dyrektywa obejmuje jedynie zbiory danych, których zawartość musi być zorganizowana według określonych kryteriów dotyczących osób fizycznych, zapewniających łatwy dostęp do danych osobowych. Poza tym poszczególne państwa członkowskie mogą określić różne kryteria określania części składowych uporządkowanego zestawu danych osobowych oraz różne kryteria dostępu do takiego zestawu.
56. Zgodnie z orzecznictwem Trybunału art. 3 ust. 1 dyrektywy 95/46 określa zakres jej stosowania w sposób bardzo szeroki(53). Nie chodzi więc o to, aby interpretować ten przepis w sposób, który stanowiłby zagrożenie dla wysokiego poziomu ochrony ustanowionego w dyrektywie 95/46.
57. Wydaje mi się, że mimo pozornego rozproszenia(54) zapiski sporządzone w danym przypadku przez członków wspólnoty mogą stanowić „zbiór danych” w rozumieniu dyrektywy 95/46. Jednym z podstawowych kryteriów porządkujących ten zestaw danych jest kryterium geograficzne. W pewnej mierze sam członek wspólnoty staje się kryterium porządkującym zestaw danych, ponieważ wspólnota dokonuje geograficznego podziału sektorów. Wspólnota posiada zatem wiedzę o tym, że dane dotyczące wskazanej osoby zamieszkującej we wskazanej dzielnicy mogły zostać zebrane przez wskazanego członka wspólnoty. Zakładając, że wspólnota nie wskazuje swoim członkom charakteru zbieranych danych, charakter ten de facto wynika z celu, jakiemu owe dane mają służyć, to znaczy przygotowania kolejnych wizyt. Sąd odsyłający wyjaśnił Trybunałowi, że chodzi o nazwisko, adres oraz podsumowanie treści rozmowy, która dotyczy między innymi przekonań religijnych i stosunków rodzinnych. Tego rodzaju sposób uporządkowania, mimo że nie jest szczególnie wyrafinowany, umożliwia łatwy dostęp do zebranych danych. Utrwala on również pamięć o prowadzonej przez wspólnotę działalności kaznodziejskiej, gdyż można sobie z łatwością wyobrazić, że w przypadku przeprowadzenia się członka wspólnoty może on przekazać zebrane informacje nowemu członkowi, który przejmie po nim dany sektor geograficzny. Wydaje się zatem, że kryterium dostępu do danych jest spełnione(55).
58. W tych okolicznościach wydaje się, że prawo fińskie wymaga większego stopnia wyrafinowania niż ten wymagany przez dyrektywę 95/46, ponieważ zaklasyfikowanie do „zbioru danych” jest ograniczone do kartotek, rejestrów lub innych systemów umożliwiających wyszukiwanie. Nie można zatem wykluczyć, że ustawa o danych osobowych zawiera dodatkowe ograniczenie w stosunku do tego, które przewiduje dyrektywa 95/46. Jednakże sąd odsyłający nie zwrócił się do Trybunału z takim pytaniem i do niego będzie należało wyciągnięcie wszelkich konsekwencji z udzielonej przez Trybunał odpowiedzi na pytanie drugie, w tym konsekwencji odnoszących się do prawa krajowego.
59. Z tych względów należy stwierdzić, że art. 3 ust. 1 dyrektywy 95/46 w związku z art. 2 lit. c) rzeczonej dyrektywy należy interpretować w ten sposób, że zestaw danych osobowych, które nie są zbierane w sposób zautomatyzowany przez członków wspólnoty religijnej w ramach działalności takiej jak ta rozpatrywana w postępowaniu głównym zgodnie z określonym podziałem geograficznym, w celu przygotowania kolejnych wizyt u osób, z którymi został nawiązany dialog religijny, może stanowić zbiór danych.
3. W przedmiocie rozważanych łącznie pytań trzeciego i czwartego
60. W pytaniach trzecim i czwartym, które należy rozważyć łącznie, sąd odsyłający zwraca się w istocie do Trybunału o ustalenie, czy art. 2 lit. d) dyrektywy 95/46 należy interpretować w ten sposób, że wspólnota religijna organizująca działalność kaznodziejską, w ramach której zbierane są dane osobowe, do których dostęp mają wyłącznie sami głosiciele, może być uznana za „administratora danych” w rozumieniu rzeczonej dyrektywy. Sąd odsyłający zwraca się także z pytaniem, czy aby można było dokonać takiej kwalifikacji, powinny istnieć konkretne akty przyjęte przez wspólnotę, takie jak pisemne instrukcje skierowane do członków, czy też wystarczy, aby rzeczona wspólnota miała rzeczywistą możliwość kierowania działalnością członków.
61. Zanim rozpocznę analizę, pragnę poczynić wstępną uwagę. Pozwana w postępowaniu głównym, zarówno w swoich uwagach na piśmie, jak również w swoim wystąpieniu ustnym przed Trybunałem, zaprzeczyła, jakoby była „administratorem danych” zbieranych przez jej członków, w rozumieniu dyrektywy 95/46, i dała wyraz pewnej irytacji, gdy został przywołany fakt, że jej członkowie działają zgodnie z jej instrukcjami, a nie z bożego rozkazu. Powtórzę jednak, że ani rozstrzygnięciu, czy dyrektywa 95/46 ma zastosowanie w niniejszej sprawie, ani ewentualnej kwalifikacji wspólnoty jako „administratora danych” w rozumieniu tej dyrektywy nie można nadać zakresu, który wykracza poza to czym są te czynności, a mianowicie czynnościami dokonywania kwalifikacji prawnej. Jak wynika z orzecznictwa Trybunału, administrator danych w rozumieniu dyrektywy 95/46 „winien w ramach spoczywającej na nim odpowiedzialności, swoich kompetencji i możliwości zapewnić, by działalność ta [przetwarzanie danych osobowych] spełniała określone w dyrektywie 95/46 wymogi, tak aby przewidziane w niej gwarancje były w pełni skuteczne i aby można było rzeczywiście zrealizować jej cel polegający na skutecznej i pełnej ochronie objętych nią osób, w szczególności w odniesieniu do ich prawa do poszanowania ich prywatności”(56). Chodzi zatem o czynność dokonania kwalifikacji prawnej, a nie o jakiekolwiek kwestionowanie roli wspólnoty lub pochodzenia pierwotnego umocowania dla działalności kaznodziejskiej.
62. Po dokonaniu tego uściślenia przejdźmy do analizy.
63. Zgodnie z art. 2 lit. d) dyrektywy 95/46 administrator danych oznacza „osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych […]”. Jak wynika z orzecznictwa Trybunału, pojęcie to powinno być definiowane szeroko, aby zrealizować cel dyrektywy 95/46, jakim jest zapewnienie skutecznej i pełnej ochrony(57), a także ze względu na kluczową rolę administratora danych w ramach systemu ustanowionego w dyrektywie 95/46(58).
64. Grupa robocza „Artykułu 29” ds. ochrony danych (zwana dalej „grupą roboczą »Artykułu 29«”)(59) stoi na stanowisku, że określenie administratora danych w rozumieniu art. 2 lit. d) dyrektywy 95/46 „opiera się raczej na analizie okoliczności faktycznych niż na analizie formalnej”(60) i „sprowadza się do określenia odpowiednio »dlaczego« i »jak« prowadzi się pewne czynności przetwarzania danych”(61).
65. Chodzi więc o zbadanie, czy wspólnota określa cele i środki przetwarzania danych zebranych przez jej członków. Należy w tym celu przypomnieć, że z treści trzeciego pytania prejudycjalnego wynika, iż wspólnota „organizuje” działalność, w ramach której jej członkowie zbierają dane osobowe, w taki sposób, że dzieli ona sektory działalności pomiędzy poszczególnych głosicieli, sprawuje kontrolę nad ich działalnością(62) oraz prowadzi rejestr osób nieżyczących sobie wizyt głosicieli. Te elementy świadczą w dużej mierze o centralizacji działalności kaznodziejskiej przez wspólnotę. W tych okolicznościach trudno jest nadal twierdzić, że działalność ta oraz towarzyszące jej w razie potrzeby zbieranie danych osobowych pozostają wyłącznie indywidualne i całkowicie niezwiązane ze wspólnotą(63).
66. Według mnie istnieje łańcuch poszlak wystarczający dla uznania – mając na względzie konieczność szerokiej wykładni pojęcia „administratora danych” w rozumieniu dyrektywy 95/46 oraz dążenie do osiągnięcia wysokiego poziomu ochrony – że wspólnota określa cele przetwarzania danych osobowych zbieranych przez jej członków, którymi to celami są stałe dążenie do zwiększenia liczebności wyznawców poprzez większą skuteczność działalności kaznodziejskiej i optymalne przygotowanie wizyt.
67. Jeśli chodzi o określanie przez wspólnotę sposobów przetwarzania danych, wydaje mi się, że trudno byłoby je kwestionować w odniesieniu do okresu, w którym wspólnota, za pośrednictwem artykułów publikowanych w swoim czasopiśmie, dostarczała członkom formularzy i udzielała bardzo konkretnych instrukcji dotyczących sporządzania zapisków. O ile, jak się wydaje, zaprzestano stosowania formularzy, o tyle zwracam uwagę, że publikacje są cały czas dostępne online oraz że wytyczne odnoszące się do sporządzania zapisków były wydawane jeszcze po dacie decyzji zaskarżonej w ramach sporu w postępowaniu głównym(64).
68. W każdym razie pytanie prejudycjalne jest oparte na założeniu braku pisemnych instrukcji. Jestem skłonny uznać, podobnie jak rządy fiński, czeski i włoski, że przy określaniu „administratora danych” w rozumieniu dyrektywy 95/46 nadmierny formalizm pozwoliłby na łatwe obejście przepisów dyrektywy 95/46 oraz że w konsekwencji, aby ocenić, czy wspólnota odgrywa rzeczywistą rolę w określaniu celów i sposobów przetwarzania danych, należy opierać się raczej na analizie okoliczności faktycznych niż na analizie formalnej.
69. Taka wykładnia znajduje także oparcie w treści art. 2 lit. d) dyrektywy 95/46, który nie zawiera żadnego wyraźnego odwołania do wymogu pisemnych instrukcji. Wydaje się, że takie znaczenie zostało nadane temu przepisowi także przez grupę roboczą „Artykułu 29”, według której faktyczny wpływ może być wystarczający, aby wskazać administratora danych(65).
70. Jest oczywiste, że stwierdzenie istnienia faktycznego wpływu nie należy do Trybunału, lecz jest zadaniem sądu odsyłającego. Jednakże sąd ten powinien mieć na względzie, że pojęcie „administratora danych” w rozumieniu dyrektywy 95/46 powinno być definiowane w sposób szeroki. Mimo że, jak stwierdziłem, nie można wymagać istnienia pisemnych instrukcji, aby nie zawężać tego pojęcia poprzez zbyt surowy formalizm, ocena istnienia faktycznego wpływu powinna być dokonywana według standardów możliwych do zweryfikowania w rozsądny sposób. Przyznam, że nie przekonuje mnie w tym względzie stanowisko Komisji, zgodnie z którym do sądu odsyłającego miałaby należeć weryfikacja, czy nakaz wydany przez wspólnotę jest postrzegany przez jej członków jako „dostatecznie wiążący pod względem moralnym”.
71. Jeśli chodzi o kwestię, czy konieczne jest, aby administrator danych miał dostęp do rzeczonych danych, ponownie zwracam uwagę, że taki wymóg nie wynika z definicji zawartej w dyrektywie 95/46. Pogląd ten prezentuje również grupa robocza „Artykułu 29”, według której brak możliwości bezpośredniego wywiązania się ze wszystkich obowiązków administratora danych, takich jak zapewnienie prawa dostępu, nie wyklucza możliwości bycia administratorem(66). Właśnie na taką okoliczność dyrektywa 95/46 stanowi jednoznacznie, że odpowiedzialność może ponosić łącznie kilka osób(67). Zatem w pełni podzielam pogląd wyrażony przez rzecznika generalnego Y. Bota, zgodnie z którym „wykładnia uprzywilejowująca występowanie pełnej kontroli nad wszystkimi aspektami przetwarzania może pociągnąć za sobą poważne luki w dziedzinie ochrony danych osobowych”(68).
72. Zakończę więc analizę, precyzując, że ewentualne ustalenie w sporze w postępowaniu głównym, iż wspólnota sprawuje kontrolę, w żadnym razie nie wyklucza równoległego ustalenia, że wspólnie z nią kontrolę sprawują członkowie wspólnoty, ponieważ „ocena wspólnej kontroli powinna odzwierciedlać ocenę »pojedynczej« kontroli poprzez przyjęcie konkretnego i funkcjonalnego [praktycznego] podejścia, a także poprzez skoncentrowanie się na tym [aby ustalić], czy cele i zasadnicze elementy sposobów [przetwarzania danych] są określane przez więcej niż jedną ze stron. . Udział stron w określaniu celów i sposobów przetwarzania w kontekście wspólnej kontroli może przyjmować różne formy i nie musi być jednakowy”(69). Jak można wywnioskować z okoliczności faktycznych przedstawionych Trybunałowi przez sąd odsyłający, członkowie wspólnoty mają możliwość wywierania konkretnego wpływu na sposoby przetwarzania (wybierając osoby, którym złożą wizytę, podejmując decyzję co do sporządzania zapisków, wybierając nośnik na potrzeby zapisków, określając zakres zbieranych danych itp.).
73. Mając na względzie powyższe, proponuję, aby Trybunał odpowiedział, że art. 2 lit. d) dyrektywy 95/46 należy interpretować w ten sposób, że wspólnota religijna organizująca działalność kaznodziejską, w ramach której dochodzi do zbierania danych osobowych, może zostać uznana za administratora danych, mimo że sama nie posiada dostępu do danych osobowych zbieranych przez jej członków. Dla określenia, czy dany podmiot jest „administratorem danych” w rozumieniu dyrektywy 95/46, nie jest wymagane istnienie pisemnych instrukcji, jednakże należy stwierdzić, w razie potrzeby na podstawie łańcucha poszlak, czy administrator ma możliwość wywierania faktycznego wpływu na zbieranie i przetwarzanie danych osobowych, co podlega weryfikacji przez sąd odsyłający.
IV. Wnioski
74. Mając na względzie powyższe rozważania, proponuję, aby Trybunał udzielił następującej odpowiedzi na pytania prejudycjalne przedłożone przez Korkein hallinto-oikeus (najwyższy sąd administracyjny, Finlandia):
1) Działalność kaznodziejska realizowana poprzez odwiedzanie kolejnych gospodarstw domowych, taka jak ta rozpatrywana w postępowaniu głównym, nie podlega wyłączeniu przewidzianemu w art. 3 ust. 2 tiret pierwsze i drugie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
2) Artykuł 3 ust. 1 dyrektywy 95/46 w związku z art. 2 lit. c) rzeczonej dyrektywy należy interpretować w ten sposób, że zestaw danych osobowych, które nie są zbierane w sposób zautomatyzowany przez członków wspólnoty religijnej w ramach działalności takiej jak ta rozpatrywana w postępowaniu głównym, zgodnie z określonym podziałem geograficznym, w celu przygotowania kolejnych wizyt u osób, z którymi został nawiązany dialog religijny, może stanowić zbiór danych.
3) Artykuł 2 lit. d) dyrektywy 95/46 należy interpretować w ten sposób, że wspólnota religijna organizująca działalność kaznodziejską, w ramach której dochodzi do zbierania danych osobowych, może zostać uznana za administratora danych, mimo że sama nie posiada dostępu do danych osobowych zbieranych przez jej członków. Dla określenia, czy dany podmiot jest „administratorem danych” w rozumieniu dyrektywy 95/46, nie jest wymagane istnienie pisemnych instrukcji, jednakże należy stwierdzić, w razie potrzeby na podstawie łańcucha poszlak, czy administrator ma możliwość wywierania faktycznego wpływu na zbieranie i przetwarzanie danych osobowych, co podlega weryfikacji przez sąd odsyłający.