produkty

Intelektualna.pl

Powrót

Artykuł
26 05.2017
Artykuł
26.05.17

Trybunał Sprawiedliwości UE o usprawiedliwionym celu przetwarzania danych

przez Małgorzata Kurowska

4.05.2017 r. zapadł interesujący wyrok Trybunału Sprawiedliwości UE (C-13/16), odnoszący się do przesłanek legalnego przetwarzania danych osobowych na podstawie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych („Dyrektywa”).

Stan faktyczny sprawy miał swoje źródło w wypadku samochodowym, który miał miejsce w Rydze w 2012 r. Po tym, jak taksówka zatrzymała się na poboczu, jej pasażer otworzył drzwi, nie zwracając uwagi na przejeżdżający trolejbus i spowodował uszkodzenie jego karoserii. Skutkiem było postępowanie dotyczące wykroczenia drogowego. Miejskie przedsiębiorstwo trolejbusowe w Rydze (Rigas satiksme) zwróciło się do towarzystwa ubezpieczeniowego właściciela/użytkownika taksówki o wypłatę stosownego odszkodowania. W odpowiedzi na żądanie zapłaty, towarzystwo ubezpieczeniowe wskazało, że winę za szkodę ponosi pasażer pojazdu, a nie kierowca taksówki. W tej sytuacji Rigas satiksme zażądało wskazania danych osobowych sprawcy od łotewskiej policji krajowej, która prowadziła postępowanie wykroczeniowe. Zakres żądanych danych obejmował imię i nazwisko osoby, numer jej dowodu tożsamości oraz adres. Rigas satiksme wskazało przy tym, że dane te są niezbędne do wytoczenia powództwa cywilnego przeciwko tej osobie. Policja odmówiła udostępnienia danych innych, niż samo tylko imię i nazwisko, wskazując, że Rigas satiksme nie skorzystało ze swojego uprawnienia do przystąpienia do sprawy o wykroczenie drogowe w charakterze strony – tylko zaś wobec strony postępowania, zdaniem Policji, istnieje podstawa prawna udostępnienia danych. Łotewski organ ochrony danych osobowych, zaangażowany następnie w spór, podzielił stanowisko Policji i wskazał, że istnieje możliwość zwrócenia się o uzyskanie danych osobowych do ewidencji ludności lub wniesienia o nakazanie udostępnienia danych przez sąd. Sąd rozpatrujący sprawę zauważył jednak, że wskazane przez organ ochrony danych osobowych możliwości prawne uzyskania danych osobowych w celu wytoczenia powództwa nie są skuteczne w sytuacji, gdy wnioskodawca dysponuje jedynie imieniem i nazwiskiem poszukiwanej osoby, i w związku z powstałymi wątpliwościami, zwrócił się o wydanie rozstrzygnięcia prejudycjalnego przez Trybunał.

Osią rozważań rzecznika generalnego, zawartych w opinii z dnia 26.01. 2017 r., a następnie w uzasadnieniu orzeczenia Trybunału, była interpretacja przesłanki przetwarzania danych osobowych ze względu na uzasadnione interesy administratora danych lub osoby trzeciej, przewidzianej w art. 7 lit. f) Dyrektywy. Odpowiednikiem ww. przepisu na gruncie polskiej ustawy o ochronie danych osobowych („uodo”), jest jej art. 23 ust. 1 pkt 5) posługujący się pojęciem usprawiedliwionych celów.

W pierwszej kolejności Trybunał odpowiedział na pytanie dotyczące obligatoryjnego lub też fakultatywnego charakteru analizowanej regulacji. W tym zakresie Trybunał, w ślad za stanowiskiem rzecznika generalnego, uznał, że przedmiotowy przepis dyrektywy nie nakłada na administratora danych obowiązku ich udostępnienia z uwagi na uzasadniony interes osoby trzeciej. Dyrektywa stanowi bowiem instrument ograniczający przetwarzanie danych, a nie asumpt do ich przetwarzania (por. opinia rzecznika generalnego, akapit 42). Trybunał podkreślił jednak równocześnie, że Dyrektywa nie stoi na przeszkodzie takiemu przekazaniu danych na podstawie prawa krajowego. Innymi słowy, to sąd lub organ krajowy powinien ocenić, czy przesłanki określone w Dyrektywie i implementowany do prawa krajowego zostały spełnione, a w konsekwencji – czy jest prawnie dopuszczalne udostępnienie danych w konkretnej sytuacji. Z omawianego orzeczenia nie wynika, czy w prawie łotewskim przewidziano stosowne upoważnienie dla organu ochrony danych osobowych, stanowiące podstawę prawną do nakazania udostępnienia danych – kwestia ta musi zostać oceniona przez sąd odsyłający. Warto wskazać, że na gruncie uodo, przyjmuje się, że GIODO jest uprawniony do nakazania administratorowi danych na podstawie art. 18 ust. 1 pkt 2 uodo udostępnienia danych na wniosek podmiotu, który powoła się na określone ustawowo podstawy swojego żądania (por. np. wyrok Naczelnego Sądu Administracyjnego z dnia 3.02.2014 roku, I OSK 1641/12).

Omawiany wyrok potwierdza linię orzeczniczą, jaka ukształtowała się w judykaturze polskich sądów administracyjnych, na gruncie art. 23 ust. 1 pkt 5 uodo. W orzecznictwie tym przyjmuje się dość jednolicie, że „jest możliwe uzyskanie stosownych danych choćby na potrzeby stosownych postępowań przed organami państwa mającymi na celu realizację prawa innych osób do ochrony ich dóbr osobistych, czy ustalenia popełnienia czynów zabronionych w tej materii”, a uprawnienie to wywieść można w szczególności z konstytucyjnego prawa do sądu (por. wyrok Naczelnego Sądu Administracyjnego z 10.11.2015 r., I OSK 685/14). Wskazuje się przy tym, że ochrona prawa do prywatności nie ma charakteru bezwzględnego (wyrok Naczelnego Sądu Administracyjnego z 13.02.2014 r., I OSK 1641/12). Powyższe twierdzenia pozostają w zbieżności z zaprezentowanym w opinii rzecznika generalnego podejściem, podkreślającym konieczność racjonalnej oceny stanu faktycznego sprawy i pewnej elastyczności w stosowaniu zasad regulujących przetwarzanie danych osobowych.

Wydaje się, że właśnie zdrowy rozsądek i elastyczne podejście pozwalają zapewnić, by administratorzy danych oraz organy nadzoru nie traciły z oczu zasadniczej funkcji ochrony danych osobowych, oraz by hierarchia praw i wolności podmiotów danych nie ulegała zaburzeniu – w szczególności w świetle zbliżającego się terminu rozpoczęcia stosowania Ogólnego rozporządzenia o ochronie danych (RODO) i związanymi z tym wyzwaniami.

Branża:

Dane osobowe

Powrót

Komentarze (0)




Dozwolone znaczniki: <b><i><br>