Poza wyjątkowymi sytuacjami administrator danych musi przekazać informacje o wszystkich podmiotach, którym przekazał dane swego klienta – uznał Trybunał Sprawiedliwości Unii Europejskiej.
Choć wielu prawników od dawna stało na tym stanowisku, najnowsze orzeczenie nie pozostawia wątpliwości. Klient ma prawo wiedzieć, co działo się z jego danymi. Choć art. 15 ust. 1 lit. c RODO mówi o „odbiorcach lub kategoriach odbiorców”, którym dane osobowe zostały przekazane, to zasadą powinno być wskazanie konkretnych podmiotów, do których trafiły.
Sprawa dotyczy austriackiej poczty (Österreichische Post). Jeden z jej klientów zażądał ujawnienia wszystkich odbiorców jego danych osobowych. Poczta potwierdziła, że wykorzystuje dane osobowe w ramach jednej ze swych dodatkowych działalności, jaką jest wydawanie książek telefonicznych, oraz przekazuje je dalej klientom biznesowym w celach marketingowych. Nie wskazała jednak komu konkretnie. Zamiast tego odesłała do swej strony internetowej, gdzie ogólnie wskazano kategorie odbiorców danych. Nie usatysfakcjonowało to klienta, który przed sądem domaga się ujawnienia mu szczegółowych informacji na temat odbiorców. Sąd początkowo oddalił pozew, bo uznał, że art. 15 ust. 1 lit. c przewiduje alternatywę, która dopuszcza wskazanie samej kategorii odbiorców danych. Wyższa instancja postanowiła jednak wystąpić z wnioskiem prejudycjalnym do TSUE.
Ten w ubiegłotygodniowym wyroku uznał, że to osoba, której dane są przetwarzane, decyduje, jakie informacje chce uzyskać. Jeśli chce wiedzieć, komu konkretnie przekazano jej dane, to ma do tego prawo.
„Artykuł 15 RODO przewiduje rzeczywiste prawo dostępu na rzecz osoby, której dane dotyczą, w taki sposób, aby miała ona możliwość wyboru i uzyskania albo informacji dotyczących konkretnych odbiorców, którym dane zostały lub zostaną ujawnione, jeżeli jest to możliwe, albo informacji dotyczących kategorii odbiorców” – podkreślono w uzasadnieniu wyroku.
Choć wskazany przepis być może nie wskazuje tego wprost, to jednak w korelacji z innymi normami nakazuje udzielanie osobom zainteresowanym możliwie szczegółowych informacji na temat tego, co dzieje się z ich danymi. Skoro bowiem jednym z głównych celów RODO jest zapewnienie wysokiego poziomu ochrony, a art. 15 ustanawia gwarancje przejrzystości, to wykładnia celowościowa nie pozwala na zawężenie uprawnień osoby, której dane są przetwarzane. To ona decyduje, jak szczegółowe informacje chce uzyskać. Jeśli więc domaga się wskazania konkretnych podmiotów, którym przekazano jej dane, to ma do tego pełne prawo.
TSUE przyznał przy tym, że od wskazanej wyżej zasady mogą być wyjątki.
„Prawo dostępu może być ograniczone do informacji o kategoriach odbiorców, jeżeli nie jest możliwe podanie do wiadomości tożsamości konkretnych odbiorców, w szczególności gdy nie są oni jeszcze znani” – można przeczytać w uzasadnieniu wyroku.
W niektórych sytuacjach przedsiębiorca może nawet odmówić udzielania jakichkolwiek informacji. Zgodnie z art. 12 ust. 5 lit. b RODO jest to możliwe, jeśli wniosek jest ewidentnie nieuzasadniony lub nadmierny, przy czym obowiązek udowodnienia tego spoczywa na administratorze danych. ©℗
orzecznictwo
Wyrok Trybunału Sprawiedliwości Unii Europejskiej z 12 stycznia 2023 r. w sprawie C 154/21 www.serwisy.gazetaprawna.pl/orzeczenia