C-154/21
Podsumowanie
Trybunał Sprawiedliwości UE orzekł, że w ramach prawa dostępu do danych osobowych (RODO), administrator ma obowiązek podać tożsamość konkretnych odbiorców, którym ujawniono dane, chyba że jest to niemożliwe lub wniosek jest nadmierny.
Sprawa dotyczyła wykładni art. 15 ust. 1 lit. c RODO, w szczególności prawa osoby fizycznej do uzyskania informacji o odbiorcach jej danych osobowych. Osoba fizyczna (RW) zwróciła się do Österreichische Post o ujawnienie tożsamości odbiorców jej danych. Spółka odmówiła, podając jedynie kategorie odbiorców. Sądy niższych instancji oddaliły pozew, uznając, że wystarczy podanie kategorii. Sąd najwyższy Austrii skierował pytanie prejudycjalne do TSUE. Trybunał orzekł, że administrator ma obowiązek podać konkretnych odbiorców, chyba że jest to niemożliwe lub wniosek jest nadmierny, wtedy może podać kategorie.
Wniosek o wydanie orzeczenia w trybie prejudycjalnym został złożony przez Oberster Gerichtshof (sąd najwyższy Austrii) w związku ze sporem między RW a Österreichische Post AG. RW, powołując się na art. 15 ust. 1 lit. c RODO, zażądał od Österreichische Post dostępu do swoich danych osobowych oraz tożsamości odbiorców, którym dane te zostały ujawnione. Spółka odmówiła podania konkretnych odbiorców, ograniczając się do wskazania kategorii (np. reklamodawcy, wydawcy książek adresowych, organizacje charytatywne). Sądy austriackie uznały, że wystarczy podanie kategorii odbiorców. Sąd najwyższy Austrii, mając wątpliwości co do wykładni przepisu, skierował pytanie do TSUE. Pytanie dotyczyło tego, czy prawo dostępu ogranicza się do kategorii odbiorców, czy też obejmuje również konkretnych odbiorców, zwłaszcza gdy dane zostały już ujawnione. Trybunał Sprawiedliwości Unii Europejskiej, analizując brzmienie, kontekst i cel RODO, orzekł, że art. 15 ust. 1 lit. c RODO należy interpretować w ten sposób, że administrator danych ma obowiązek podania osobie, której dane dotyczą, dokładnej tożsamości odbiorców, którym dane zostały lub zostaną ujawnione. Wyjątkiem od tej zasady jest sytuacja, gdy zidentyfikowanie odbiorców jest niemożliwe lub gdy wnioski osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne (zgodnie z art. 12 ust. 5 RODO). W takich przypadkach administrator może ograniczyć się do podania kategorii odbiorców. Trybunał podkreślił, że prawo dostępu ma kluczowe znaczenie dla możliwości skorzystania z innych praw wynikających z RODO, takich jak prawo do sprostowania, usunięcia danych czy sprzeciwu, a także dla zapewnienia skutecznego środka prawnego.
Asystent AI do analizy prawnej
Przeanalizuj tę sprawę w kontekście orzecznictwa, przepisów i doktryny. Uzyskaj pogłębioną analizę, projekt pisma lub odpowiedź na pytanie prawne.
Zagadnienia prawne (1)
Odpowiedź sądu
Prawo dostępu osoby, której dane dotyczą, do dotyczących jej danych osobowych oznacza, w przypadku gdy dane te zostały lub zostaną ujawnione odbiorcom, że na administratorze danych ciąży obowiązek podania tej osobie dokładnej tożsamości tych odbiorców, chyba że nie jest możliwe zidentyfikowanie tych odbiorców lub administrator wykaże, że wnioski są ewidentnie nieuzasadnione lub nadmierne.
Uzasadnienie
Trybunał analizował brzmienie przepisu, kontekst (w tym motyw 63 RODO, zasada przejrzystości, porównanie z art. 13 i 14 RODO) oraz cel RODO (wysoki poziom ochrony, realizacja praw podstawowych). Podkreślono, że prawo dostępu jest kluczowe dla innych praw (sprostowanie, usunięcie, sprzeciw) i dla skuteczności środków prawnych. Wskazano również na art. 19 RODO, który przewiduje obowiązek informowania o odbiorcach. Ostatecznie uznano, że podanie konkretnych odbiorców jest zasadą, a ograniczenie do kategorii wyjątkiem, gdy jest to uzasadnione.
Rozstrzygnięcie
Decyzja
odpowiedz_na_pytanie
Strona wygrywająca
skarżący (RW)
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| RW | osoba_fizyczna | skarżący |
| Österreichische Post AG | spolka | pozwany |
| rząd austriacki | panstwo_czlonkowskie | interwenient |
| rząd czeski | panstwo_czlonkowskie | interwenient |
| rząd włoski | panstwo_czlonkowskie | interwenient |
| rząd łotewski | panstwo_czlonkowskie | interwenient |
| rząd rumuński | panstwo_czlonkowskie | interwenient |
| rząd szwedzki | panstwo_czlonkowskie | interwenient |
| Komisja Europejska | instytucja_ue | interwenient |
Przepisy (5)
Główne
RODO art. 15 § 1 lit. c
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Prawo dostępu do informacji o odbiorcach danych osobowych oznacza obowiązek podania konkretnej tożsamości odbiorców, chyba że jest to niemożliwe lub wniosek jest nadmierny/nieuzasadniony.
Pomocnicze
RODO art. 12 § ust. 5 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Administrator może odmówić uwzględnienia wniosków osoby, której dane dotyczą, jeżeli są one ewidentnie nieuzasadnione lub nadmierne.
RODO art. 19
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Administrator informuje osobę, której dane dotyczą, o odbiorcach, którym ujawniono dane, jeśli osoba ta tego zażąda.
TFUE art. 267
Traktat o funkcjonowaniu Unii Europejskiej
Podstawa prawna dla odesłania prejudycjalnego.
Karta Praw Podstawowych art. 8 § ust. 2
Karta praw podstawowych Unii Europejskiej
Prawo podstawowe do ochrony danych osobowych.
Argumenty
Skuteczne argumenty
Prawo dostępu do danych osobowych musi być skuteczne i umożliwiać osobie, której dane dotyczą, weryfikację zgodności przetwarzania z prawem. Podanie konkretnych odbiorców danych jest niezbędne do skorzystania z innych praw (sprostowanie, usunięcie, sprzeciw) oraz do dochodzenia roszczeń. Artykuł 19 RODO potwierdza prawo osoby, której dane dotyczą, do informacji o odbiorcach. Cel RODO to zapewnienie wysokiego poziomu ochrony danych osobowych i realizacja prawa podstawowego do ochrony danych.
Odrzucone argumenty
Prawo dostępu do informacji o odbiorcach danych ogranicza się do podania kategorii odbiorców, a nie ich konkretnej tożsamości.
Godne uwagi sformułowania
prawo do wiedzy i informacji, w szczególności dotyczących odbiorców tych danych osobowych prawo dostępu jest niezbędne, aby umożliwić osobie, której dane dotyczą, skorzystanie w razie potrzeby z jej prawa do sprostowania, prawa do usunięcia danych („prawa do bycia zapomnianym”) lub prawa do ograniczenia przetwarzania prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w świetle jego funkcji społecznej i wyważyć z innymi prawami podstawowymi, zgodnie z zasadą proporcjonalności
Skład orzekający
A. Arabadjiev
prezes izby
L. Bay Larsen
wiceprezes Trybunału, pełniący obowiązki sędziego pierwszej izby
P.G. Xuereb
sędzia
A. Kumin
sędzia
I. Ziemele
sprawozdawczyni
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Wykładnia art. 15 ust. 1 lit. c RODO w zakresie prawa do informacji o odbiorcach danych osobowych, zasady wykonywania prawa dostępu, ograniczenia tego prawa."
Ograniczenia: Wyjątki od obowiązku podania konkretnych odbiorców (niemożliwość identyfikacji, nadmierny/nieuzasadniony wniosek).
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnego prawa do prywatności i ochrony danych osobowych, a jej rozstrzygnięcie ma bezpośrednie przełożenie na sposób, w jaki firmy muszą informować użytkowników o tym, komu udostępniają ich dane.
“Czy wiesz, komu Twoje dane sprzedaje firma? TSUE wyjaśnia prawo dostępu do informacji o odbiorcach.”
Twój asystent do analizy prawnej
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka ponad 1,4 mln orzeczeń i aktualne akty prawne.
Powiązane tematy
Potrzebujesz pomocy prawnej?
Asystent AI przeanalizuje Twoje pytanie w oparciu o orzecznictwo, przepisy i doktrynę — jak rozmowa z ekspertem.
Zadaj pytanie Asystentowi AI