Administrator musi na żądanie wskazać, komu konkretnie przekazał dane osobowe. Podanie samej kategorii odbiorców nie wystarczy – uważa rzecznik generalny Trybunału Sprawiedliwości Unii Europejskiej.
Aby korzystać z praw gwarantowanych przez RODO, wpierw trzeba wiedzieć, kto przetwarza nasze dane osobowe. Dlatego też przepisy kładą duży nacisk na obowiązki informacyjne administratorów. Zgodnie z art. 15. ust. 1 lit. c RODO osoba, której dane dotyczą, jest uprawniona do uzyskania informacji na temat „odbiorców lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych”. Wielu administratorów uznaje, że przepis pozwala im zdecydować, którą opcję wybierają. Oczywiście dużo łatwiej jest wskazać samą, często bardzo ogólnie zdefiniowaną, kategorię odbiorców, dlatego na tym poprzestają. Jak wynika z opinii rzecznika generalnego TSUE, przepisy nakazują przekazywanie precyzyjniejszych informacji.
Sprawa dotyczy austriackiej poczty (Österreichische Post), do której jeden z klientów skierował żądanie ujawnienia wszystkich odbiorców jego danych osobowych. Poczta potwierdziła, że wykorzystuje dane osobowe w ramach jednej ze swych dodatkowych działalności, czyli wydawania książek telefonicznych, oraz przekazuje dalej klientom biznesowym w celach marketingowych. Nie wskazała jednak komu konkretnie. Zamiast tego odesłała do swej strony internetowej, na której ogólnie wskazano kategorie odbiorców danych. Nie usatysfakcjonowało to klienta, który przed sądem domagał się ujawnienia mu szczegółowych informacji na temat odbiorców. Sąd początkowo oddalił pozew, uznając, że art. 15 ust. 1 lit. c przewiduje alternatywę, która dopuszcza wskazanie samej kategorii odbiorców danych. Wyższa instancja postanowiła jednak wystąpić z wnioskiem prejudycjalnym do TSUE.
Rzecznik generalny Giovanni Pitruzzella uważa, że zakres obowiązku informacyjnego jest uzależniony od tego, czy dane osobowe już zostały przekazane, czy też ma to się stać dopiero w przyszłości. Jeśli już to nastąpiło, zainteresowane osoby mogą się domagać wskazania konkretnych odbiorców. Z taką wykładnią przemawia nie tyle brzmienie samego przepisu, ile ogólne cele stawiane przez RODO, a także Kartę praw podstawowych Unii Europejskiej. Odmienna interpretacja oznaczałaby, że nie można skutecznie chronić prywatności.
Wbrew temu, co uznał niemiecki sąd, przepis nie jest adresowany do administratora danych (w tym przypadku poczty), tylko do podmiotu danych, któremu przyznaje prawo domagania się określonych informacji. Uprawnienie to należy łączyć z motywem 63 RODO, który wyraźnie mówi o uzyskiwaniu informacji na temat odbiorców danych, a także art. 5 ust. 1 lit. a rozporządzenia, który nakazuje przetwarzać dane w sposób przejrzysty.
„W tym kontekście zgadzam się z Komisją Europejską, że prawo dostępu (...) jedynie do kategorii odbiorców, byłoby równoznaczne z uniemożliwieniem osobie, której dane dotyczą, pełnej weryfikacji legalności przetwarzania danych (...). Taka interpretacja omawianego przepisu nie pozwoliłaby osobie, której dane dotyczą, na sprawdzenie, czy jej dane zostały przesłane wyłącznie do uprawnionych odbiorców” – napisał rzecznik generalny w swej opinii. Nie wiedząc, do kogo konkretnie trafiły dane osobowe, nie można korzystać z uprawnień przyznanych w RODO. W jaki sposób żądać usunięcia danych, gdy się nie wie, że ktoś je w ogóle posiada? Dostęp do informacji o odbiorcach ma fundamentalne znaczenie przy wykonywaniu innych praw wynikających z RODO.
„W celu zapewnienia skuteczności praw do sprostowania, usunięcia i ograniczenia przetwarzania przewidzianych danych (…), osoba, której dane dotyczą, musi, co do zasady mieć prawo do uzyskania informacji o tożsamości konkretnych odbiorców, jeżeli jego dane osobowe zostały już ujawnione. Tylko w ten sposób może dochodzić swoich praw” – podkreślił Giovanni Pitruzzella.
Jednocześnie przyznał, że od tej ogólnej zasady mogą być wyjątki. Po pierwsze wtedy, gdy nie jest możliwe ustalenie odbiorców danych, bo nie zostali oni jeszcze zidentyfikowani. Po drugie, uprawnienia gwarantowane przez RODO należy zawsze rozpatrywać w świetle zasad sprawiedliwości i proporcjonalności. Jeśli więc wniosek osoby uprawnionej o przekazanie jej informacji byłby oczywiście bezzasadny lub nadmierny, to administrator nie musi go uwzględniać.
orzecznictwo
Opinia rzecznika generalnego Trybunału Sprawiedliwości Unii Europejskiej z 9 czerwca 2022 r. w sprawie C-154/21 www.serwisy.gazetaprawna.pl/orzeczenia
