TFL Vsebine / TFLGlasnik

Sodba Sodišča EU, Österreichische Post, C-154/21, 12. januar 2023

Čeprav se je ob uveljavitvi Splošne uredbe o varstvu podatkov (SUVP) zdelo, da bo z nekaj novostmi in grožnjo z visokimi upravnimi globami prinesla konec sveta, kot ga poznamo, se to, seveda, ni zgodilo. Je pa nekaj let uporabe predpisa prineslo izkušnje in vrsto odločitev nadzornih organov, sodišč in tudi Sodišča EU. Ena njegovih zadnjih odmevnejših odločitev je bila sprejeta v zadevi C-154/21, na predlog za sprejetje predhodne odločbe po 267. členu PDEU, ki ga je podalo avstrijsko Vrhovno sodišče v postopku posameznika (RW) proti Pošti Avstrije (Österreichische Post AG).

Predlog za sprejetje predhodne odločbe se je nanašal na razlago točke (c) člena 15/1 SUVP, ki določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljalca, ki obdeluje njegove osebne podatke, pridobiti informacije o uporabnikih ali kategorijah uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti o uporabnikih v tretjih državah ali mednarodnih organizacijah.

Dejansko stanje zadeve

1. Posameznik (RW) je 15. januarja 2019, sklicujoč se na določila 15. člena SUVP, na Pošto Avstrije vložil zahtevo za pridobitev dostopa do svojih osebnih podatkov, ki jih je upravljalec obdeloval, vključno z zahtevo za razkritje identitete uporabnikov, ki jim je Pošta posredovala njegove osebne podatke.
2. Pošta je na zahtevo odgovorila zelo splošno, in sicer da osebne podatke obdeluje kot urednica telefonskih imenikov, v obsegu, kot ga dovoljujejo predpisi, in da podatke zagotavlja svojim strankam za namene trženja. Identitete konkretnih uporabnikov podatkov osebe RW ni sporočila.
3. RW je, nezadovoljen s takšnim odzivom, v nadaljevanju od sodišča s tožbo zahteval, naj Pošti naloži, da mu sporoči identiteto uporabnika ali uporabnikov, ki jim je razkrila njegove osebne podatke. Med sodnim postopkom (na prvi stopnji) je Pošta RW poslala dodatno oziroma dopolnilno obvestilo, v katerem je zapisala, da so se njegovi osebni podatki obdelovali zaradi trženja in so bili posredovani strankam, kot so oglaševalska podjetja, ki opravljajo dejavnost prodaje po pošti in v prodajalnah, IT-podjetja in različna društva, na primer dobrodelne organizacije, nevladne organizacije (NVO) ali politične stranke.
4. Prvostopenjsko in višje sodišče sta tožbo RW zavrnili z obrazložitvijo, da naj bi člen 15(1)(c) SUVP z uporabljeno dikcijo »uporabnike ali kategorije uporabnika « upravljalcu dajal možnost, da posamezniku, na katerega se nanašajo osebni podatki, navede zgolj kategorije uporabnikov, ne da bi moral poimensko navesti konkretne uporabnike, ki so jim osebni podatki razkriti.
5. RW je, nezadovoljen z odločitvijo nižjih sodišč, na Vrhovno sodišče vložil revizijo.
6. Vrhovno sodišče je odločanje prekinilo in Sodišču EU v predhodno odločanje predložilo naslednje vprašanje: »Ali je treba člen 15(1)(c) [SUVP] razlagati tako, da je pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa do informacij o kategorijah uporabnika omejena, če konkretni uporabniki pri načrtovanih razkritjih še niso znani, pri čemer mora pravica dostopa obvezno zajemati tudi uporabnike teh razkritij, če so bili podatki že razkriti?«

Pravne dileme Vrhovnega sodišča

Vrhovno sodišče je menilo, da iz besedila točke (c) člena 6/1 SUVP ni nedvoumno razvidno, ali je posameznik, na katerega se nanašajo osebni podatki, upravičen do informacij o konkretnih uporabnikih, ki so jim bili razkriti njegovi podatki, ali pa lahko upravljalec prosto presoja, kako namerava ugoditi zahtevi za dostop do informacij o uporabnikih; ali posamezniku posreduje podatke o konkretnih uporabnikih ali pa mu posreduje podatke o kategorijah uporabnikov. Pri tem je Vrhovno sodišče opozorilo, da je ratio legis navedene določbe bolj v prid razlagi, da je posameznik tisti, ki lahko izbere in zahteva informacije o kategoriji uporabnikov ali pa o identiteti konkretnih uporabnikov njegovih osebnih podatkov. Drugačna razlaga bi po prepričanju Vrhovnega sodišča resno posegla v učinkovitost pravnih sredstev, ki so posamezniku na voljo zaradi varstva njegovih osebnih podatkov. Če bi namreč upravljalci prosto izbirali, bi obstajala nevarnost, da v praksi skoraj nihče od njih ne bi zagotovil informacij o identiteti konkretnih uporabnikov.

Vrhovno sodišče je svojo dilemo in način razmišljanja podkrepilo tudi s sklicem na sodbo Sodišča EU C-553/07¹ – ki sicer sloni še na Direktivi 95/46 – zatrjujoč, da zakonodajalec s SUVP ni imel namena zmanjšati ravni varstva v razmerju do prej veljavne Direktive 95/46.

Odločitev Sodišča EU

Sodišče EU je ocenilo, da predložitveno sodišče v bistvu sprašuje, ali je treba točko (c) prvega odstavka 15. člena SUVP razlagati tako, da pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa do osebnih podatkov v zvezi z njim iz te določbe pomeni, da mora upravljalec, kadar so bili ali bodo ti podatki razkriti uporabnikom, tej osebi zagotoviti informacije o konkretni identiteti uporabnikov.

Po razsodbi Sodišča EU je treba točko (c) prvega odstavka 15. člena SUVP razlagati tako, da pravica posameznika, na katerega se nanašajo osebni podatki, do dostopa do osebnih podatkov v zvezi z njim iz te določbe pomeni, da mora upravljalec, kadar so bili ali bodo ti podatki razkriti uporabnikom, temu posamezniku zagotoviti informacije o dejanski identiteti teh uporabnikov, razen če identifikacija teh uporabnikov ni mogoča ali če upravljalec dokaže, da so zahteve za dostop posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane v smislu 12/5 člena SUVP, pri čemer lahko ta upravljalec v takem primeru temu posamezniku zagotovi le informacije o kategorijah zadevnih uporabnikov.

Pri razsodbi se je Sodišče EU naslonilo na naslednje argumente:

1. Po uvodni izjavi št. 63 SUVP mora imeti posameznik, na katerega se nanašajo osebni podatki, pravico do seznanitve in pridobitve informacij med drugim o uporabnikih njegovih osebnih podatkov, pri čemer ni navedeno, da bi bilo to pravico mogoče omejiti le na kategorije uporabnikov.
2. Vsaka obdelava osebnih podatkov mora biti v skladu z načeli iz 5. člena SUVP, tudi v skladu z načelom preglednosti, ki terja, da so posamezniku na voljo informacije o tem, kako se obdelujejo njegovi osebni podatki, ter da so te informacije lahko dostopne in razumljive.
3. Drugače kot 13. in 14. člen SUVP, ki določata obveznost upravljalca, da posamezniku zagotovi informacije o kategorijah uporabnikov ali o konkretnih uporabnikih osebnih podatkov v zvezi z njim, kadar so oziroma kadar osebni podatki niso pridobljeni neposredno od posameznika, 15. člen SUVP določa dejansko pravico dostopa v korist posameznika, na katerega se nanašajo osebni podatki, tako, da mora ta imeti na voljo izbiro med bodisi informacijami o konkretnih uporabnikih, ki so jim bili ali jim bodo razkriti navedeni podatki, kadar je to mogoče, bodisi informacijami o kategorijah uporabnikov.
4. Posameznik z uveljavitvijo pravice do dostopa lahko ne le preveri, ali so podatki v zvezi z njim pravilni, ampak tudi, ali je njihova obdelava zakonita, zlasti ali so bili razkriti pooblaščenim uporabnikom. Pravica dostopa je tako nujna, da lahko posameznik po potrebi uveljavi druge pravice iz naslova varstva osebnih podatkov: pravico do popravka, pravico do izbrisa (»pravica do pozabe«) in pravico do omejitve obdelave, ki jih ima na podlagi 16., 17. in 18. člena SUVP, pravico do ugovora glede obdelave osebnih podatkov iz 21. člena SUVP ter pravico do pravnega sredstva v primeru utrpljene škode po 79. in 82. členu SUVP. Za polni učinek navedenih pravic mora imeti posameznik pravico, da je obveščen o identiteti konkretnih uporabnikov, ki so jim bili razkriti njegovi osebni podatki.
5. Sprejeto razlago podpira tudi 19. člen SUVP, ki v prvem stavku določa, da upravljalec načeloma vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave, v drugem stavku pa navaja, da upravljalec o teh uporabnikih obvesti posameznika, na katerega se nanašajo osebni podatki, če ta posameznik tako zahteva.

Težko bi rekli, predvsem glede na pretekle razsodbe Sodišča EU, ki so slonele na Direktivi 95/46, pa obravnavale v bistvu enake dileme, da takšna odločitev ni bila pričakovana. Nenazadnje naj spomnim tudi na določbo tretjega odstavka 22. člena ZVOP-1, po kateri je bil upravljalec osebnih podatkov za vsako posredovanje osebnih podatkov dolžan zagotoviti, da je pozneje mogoče ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov.

Obveznost, da na zahtevo posameznika zagotovijo podatek o identiteti uporabnika, ki so mu razkrili posameznikove osebne podatke, torej za upravljalce ni nova, brez dvoma pa pomeni breme in terja organiziran ter pregleden način beleženja posredovanj oziroma razkrivanj osebnih podatkov tretjim osebam. V nasprotnem primeru se upravljalci ne bodo mogli pravilno odzvati na zahtevo posameznika, dano na podlagi točke (c) prvega odstavka 15. člena SUVP.

1 V sodbi v zadevi College van burgemeester en wethouders van Rotterdam (Odbor župana in svetnikov Rotterdama) proti M. E. E. Rijkeboerju je Sodišče EU v postopku za sprejetje predhodne odločbe razsodilo, da morajo države članice v skladu s členom 12(a) Direktive 95/46/ES pravico do dostopa do informacij o prejemnikih ali vrstah prejemnikov podatkov in glede vsebine posredovanih informacij določiti ne le za sedanjost, ampak tudi za preteklost. Prav tako je razsodilo, da morajo države članice določiti rok za shranjevanje teh informacij in dostop do njih, kar storijo tako, da je doseženo pravično ravnovesje med interesom posameznika, na katerega se nanašajo osebni podatki, ter bremenom, ki ga za upravljalca pomeni obveznost shranjevanja teh informacij. Slovenski zakonodajalec je sodbi sledil s tretjim odstavkom 22. člena ZVOP-1.