C-185/25

Opinia rzecznika generalnegoTSUE2026-06-18CELEX: 62025CC0185ECLI:EU:C:2026:505

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
1. Czy osoba fizyczna, która w ramach wykonywania swoich obowiązków przetwarza dane osobowe jako kierownik organizacji publicznej, używając środków udostępnionych przez tę organizację, jest "administratorem danych" w rozumieniu art. 4 pkt 7 RODO? 2. Czy prawo dostępu do "wszelkich dostępnych informacji" o źródle danych osobowych (art. 15 ust. 1 lit. g RODO) obejmuje tożsamość osoby trzeciej, która wyraziła opinię na temat osoby, której dane dotyczą? 3. Czy naruszenie obowiązku informacyjnego z art. 15 ust. 1 RODO stanowi szkodę podlegającą odszkodowaniu na podstawie art. 82 RODO? 4. Czy art. 82 RODO stoi na przeszkodzie krajowym przepisom wyłączającym odpowiedzialność indywidualnych urzędników publicznych za szkody wyrządzone w ramach wykonywania obowiązków służbowych, przenosząc ją na podmiot publiczny?
Ratio decidendi
Rzecznik Generalny stwierdził, że osoba fizyczna działająca jako kierownik organizacji publicznej, przetwarzająca dane osobowe nie we własnym interesie osobistym, lecz w ramach pełnienia obowiązków służbowych i za pomocą środków udostępnionych przez tę organizację, nie może być uznana za "administratora danych" w rozumieniu art. 4 pkt 7 RODO. Administrator to podmiot, który "wpływa na przetwarzanie danych osobowych dla własnych interesów". W takim przypadku administratorem jest sama organizacja (szkoła), a nie jej dyrektor. Ta interpretacja ma na celu zapewnienie skutecznej ochrony praw podstawowych osób fizycznych, jednocześnie precyzując, że odpowiedzialność spoczywa na podmiocie prawnym, a nie na jego przedstawicielu działającym w granicach uprawnień.
Stan faktyczny
TS, dyrektor austriackiej szkoły podstawowej, organizował programy kształcenia dla nauczycieli. Gdy dowiedział się, że RS ma koordynować kolejny program, zasięgnął opinii o RS u osoby trzeciej. Na podstawie negatywnych informacji, TS wysłał e-mail ze służbowego adresu do uniwersytetu pedagogicznego, prosząc o wyznaczenie innego koordynatora. RS, dowiedziawszy się o treści e-maila, zażądał od TS ujawnienia tożsamości osoby trzeciej i odszkodowania za szkodę niemajątkową. Sądy niższych instancji oddaliły roszczenie RS, uznając, że TS działał w imieniu szkoły, a nie jako administrator danych, i że szkoła udostępniła mu środki przetwarzania danych.
Rozstrzygnięcie
Artykuł 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że osoby fizycznej, która w ramach wykonywania swoich obowiązków przetwarza dane osobowe działając nie we własnym interesie osobistym, lecz jako kierownik organizacji, przy użyciu oddanych do jej dyspozycji i przepisanych przez taką organizację środków nie można uznać za „administratora” w rozumieniu tego przepisu.

Pełny tekst orzeczenia

Wydanie tymczasowe OPINIA RZECZNIKA GENERALNEGO RIMVYDASA NORKUSA przedstawiona w dniu 18 czerwca 2026 r.(1) Sprawa C‑185/25 [Waldfelber](i) RS przeciwko TS [wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Oberster Gerichtshof (sąd najwyższy, Austria)] Odesłanie prejudycjalne – Ochrona danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 4 pkt 7 – Pojęcie „administratora danych” – Osoba fizyczna działająca w charakterze kierownika podmiotu publicznego – Dyrektor szkoły – Określanie celów i sposobów przetwarzania danych osobowych – Dane osobowe zawarte w wiadomości elektronicznej wysłanej przez dyrektora szkoły z jego służbowego adresu poczty elektronicznej – Artykuł 15 ust. 1 lit. g) – Prawo osoby, której dane dotyczą, do uzyskania dostępu do „wszelkich dostępnych informacji” o źródle danych osobowych – Dane osobowe składające się z opinii na temat osoby, której dane dotyczą – Opinia oparta na rozmowie z osobą trzecią – Prawo osoby, której dane dotyczą, do uzyskania informacji o tożsamości osoby trzeciej – Artykuł 82 – Prawo do odszkodowania i odpowiedzialność – Zarzut powstania szkody spowodowanej naruszeniem prawa dostępu – Wyłączenie odpowiedzialności dyrektora szkoły – Ważność wyłączenia I.      Wprowadzenie 1.        Niniejsza sprawa dotyczy sytuacji, która często zdarza się w miejscu pracy. Osoba fizyczna, działająca w charakterze pracownika lub przedstawiciela podmiotu prawnego, prywatnego lub publicznego, zwraca się do osoby trzeciej podczas bezpośredniej rozmowy o wyrażenie opinii na temat osoby wybranej do objęcia stanowiska w tym podmiocie. Po tej rozmowie pracownik lub przedstawiciel wysyła wiadomość elektroniczną ze swojego służbowego adresu osobie odpowiedzialnej za zaproponowanie tego kandydata, prosząc o zaproponowanie zamiast niego innej osoby. 2.        Osoba wyznaczona do objęcia stanowiska dowiaduje się o tej wiadomości i chce poznać tożsamość tej osoby trzeciej. Czy osoba ta może uzyskać tę informację na podstawie Rozporządzenia (UE) 2016/679, a konkretniej jego art. 15 ust. 1 lit. g)(2)? 3.        Zgodnie z tym przepisem osoba, której dane dotyczą (czyli zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której dane osobowe(3) zostały przetworzone)(4), ma prawo uzyskać od „administratora” „wszelkie dostępne informacje” o źródle danych, jeżeli te dane osobowe nie zostały zebrane od samej osoby, której dotyczą. W niniejszej sprawie osoba, która może być uznana za „administratora danych” (TS, strona pozwana w postępowaniu przed sądem odsyłającym) jest dyrektorem szkoły podstawowej w Austrii. Działając w tym charakterze organizuje on programy kształcenia ciągłego dla nauczycieli w szkole. Programy te są prowadzone przez Pädagogische Hochschule („uniwersytet nauk pedagogicznych”) przy pomocy „koordynatorów programu” („Prozessbegleiter”). 4.        Osoba, której dane dotyczą (RS, powód w postępowaniu przed sądem odsyłającym), jest jednym z tych koordynatorów programu. TS, po tym jak został poinformowany, że przyszły program kształcenia dla nauczycieli z jego szkoły będzie koordynowany przez RS zasięgnął wiedzy o jego reputacji u osoby trzeciej. Na podstawie przedstawionych mu informacji TS wysłał wiadomość elektroniczną do uniwersytetu nauk pedagogicznych ze swojego adresu służbowego, w której to wiadomości poprosił o wyznaczenie w jego miejsce innego koordynatora programu. RS, powołując się na art. 15 ust. 1 lit. g) RODO, chce poznać tożsamość osoby trzeciej, która wyraziła negatywną opinię na jego temat. 5.        W tym kontekście Oberster Gerichtshof (sąd najwyższy, Austria) zwraca się o wyjaśnienie zakresu tego przepisu. Sąd ten zastanawia się również nad kwestią prejudycjalną, czy osobę taką jak TS można uznać za „administratora” w rozumieniu art. 4 pkt 7 RODO. Wreszcie sąd ten zmierza do ustalenia, czy negatywne konsekwencje naruszenia obowiązku informacyjnego przewidzianego w art. 15 ust. 1 RODO mogą stanowić „szkody spowodowane przetwarzaniem naruszającym [to] rozporządzenie” w rozumieniu art. 82 ust. 2 RODO i prowadzić do powstania po stronie administratora obowiązku zapłaty odszkodowania. Sąd ten zmierza również do ustalenia, czy w takiej sytuacji art. 82 RODO stoi na przeszkodzie przepisom krajowym, które wyłączają odpowiedzialność osób działających jako „dyrektor generalny” niektórych publicznych podmiotów prawnych (takich jak TS w niniejszej sprawie) za taką szkodę. II.    Ramy prawne A.      Prawo Unii 6.        Zgodnie z motywem 63 RODO: „Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem […] Dlatego też każda osoba, której dane dotyczą, powinna mieć prawo do wiedzy i informacji, w szczególności w zakresie celów, w jakich dane osobowe są przetwarzane, w miarę możliwości okresu, przez jaki dane osobowe są przetwarzane, odbiorców danych osobowych, założeń ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz, przynajmniej w przypadku profilowania, konsekwencji takiego przetwarzania […] Prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji […]” 7.        Artykuł 4 pkt 7 tego rozporządzenia definiuje „administratora” jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania”. 8.        Artykuł 15 ust. 1 lit. g) RODO stanowi, że osoba, której dane dotyczą, „jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich [oraz] jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – [wszelkich dostępnych informacji] o ich źródle”. 9.        Artykuł 82 ust. 1 RODO stanowi, że „[k]ażda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”. Zgodnie z ust. 2 tego artykułu „[k]ażdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie”. Ponadto wyjaśniono w nim, że „[p]odmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom”. B.      Prawo austriackie 10.      Rozdział 1 (zatytułowany „Odpowiedzialność osób trzecich”) Bundesgesetz über die Haftung der Gebietskörperschaften und der sonstigen Körperschaften und Anstalten des öffentlichen Rechts für in Vollziehung der Gesetze zugefügte Schäden (Amtshaftungsgesetz) [ustawy federalnej o odpowiedzialności jednostek samorządu terytorialnego i innych podmiotów prawa publicznego za szkody wyrządzone przy wykonywaniu ustaw (zwanej dalej „ustawą o odpowiedzialności publicznej”)] z dnia 18 grudnia 1948 r. (BGbl. 20/1949), w brzmieniu mającym zastosowanie do sporu w postępowaniu przed sądem odsyłającym, zawiera paragraf 1 ust. 1, który ma następujące brzmienie: „Federacja, kraje związkowe, gminy, inne podmioty prawa publicznego i instytucje ubezpieczenia społecznego – zwane dalej podmiotami prawnymi – są odpowiedzialne, zgodnie z przepisami prawa cywilnego za wszelkie szkody majątkowe lub szkody na osobie wyrządzone w sposób zawiniony każdej osobie przez osoby działające jako ich organy przy wykonywaniu ustaw, w wyniku niezgodnego z prawem zachowania; organy te nie ponoszą odpowiedzialności wobec osoby poszkodowanej. Naprawienie szkody następuje wyłącznie w formie pieniężnej”. 11.      Zgodnie z § 9 ust. 5 (zatytułowanym „Procedura”) tej ustawy „[p]oszkodowane osoby nie mogą żądać naprawienia szkody wyrządzonej im w ramach wykonywania ustaw przez organ podmiotu prawnego, o którym mowa w § 1 […] od tego organu w drodze powództwa wytoczonego przed sądem powszechnym „[o]dszkodowanie za] szkodę wyrządzoną przez członka kierownictwa osoby prawnej wymienionej w [ust.] 1 niniejszej federalnej [ustawy] w trakcie wykonywania przepisów tej ustawy nie może być dochodzone przez poszkodowanego w ramach zwykłego postępowania sądowego”. III. Okoliczności, postępowanie przed sądem odsyłającym i pytania prejudycjalne 12.      TS, strona pozwana w postępowaniu głównym, jest dyrektorem szkoły podstawowej w Austrii. Działając w tym charakterze organizuje programy kształcenia ciągłego dla nauczycieli ze szkoły, którzy podlegają prawnemu obowiązkowi uczestniczenia w tych programach. 13.      Uniwersytet nauk pedagogicznych zapewnia te programy kształcenia. W szczególności udostępnia on szkołom personel organizacyjny (koordynatorów programu), który został specjalnie wybrany w celu ułatwienia realizacji tych programów. 14.      Otrzymawszy informację, że RS, powód w postępowaniu przed sądem odsyłającym, został zaproponowany przez uniwersytet nauk pedagogicznych jako koordynator następnego programu kształcenia nauczycieli z jego szkoły, TS zasięgnął wiedzy o reputacji RS podczas bezpośredniej rozmowy z pewnym nauczycielem (zwanym dalej „osobą trzecią”). 15.      Kilka dni po rozmowie z osobą trzecią TS wysłał wiadomość elektroniczną (zwaną dalej „rozpatrywaną wiadomością elektroniczną”) ze swojego adresu służbowego – z którego korzysta wyłącznie do celów urzędowych – z komputera szkolnego i specjalnie wyznaczonego serwera, do pracownika Pädagogische Hochschule (uniwersytetu nauk pedagogicznych), w której to wiadomości poprosił o wyznaczenie innego koordynatora programu. Oparł on swoją prośbę na informacjach uzyskanych od osoby trzeciej dotyczących RS, zgodnie z którymi RS kwestionuje publiczny system szkolnictwa i pozostaje w ciągłym sporze z właściwym organem z dziedziny edukacji. 16.      TS nie sporządził notatki ani nie zapisał w żaden inny sposób rozmowy z osobą trzecią. Nie rozpowszechniał on informacji uzyskanych podczas tej rozmowy w żaden inny sposób. Poza samą rozpatrywaną wiadomością elektroniczną nie ma innego pisemnego śladu zawartych w niej danych osobowych dotyczących RS. 17.      Gdy RS dowiedział się o treści rozpatrywanej wiadomości elektronicznej, zgłosił to TS. Zażądał on przekazania mu pewnych informacji dotyczących w szczególności tożsamości osoby trzeciej na podstawie art. 15 ust. 1 RODO oraz przekazania mu kopii dotyczących go danych osobowych, które TS przetwarzał w tej wiadomości elektronicznej. 18.      Tego samego dnia TS poinformował RS w wiadomości elektronicznej, że nigdy nie posiadał dotyczących go danych osobowych ani że nie przekazał takich danych innym osobom. TS wskazał, że wyraził jedynie obawy co do wyboru RS na koordynatora programu kształcenia, w którym mieli uczestniczyć nauczyciele z jego szkoły. 19.      Następnie RS wszczął postępowanie sądowe żądając nakazania TS przekazania mu określonych informacji dotyczących w szczególności tożsamości osoby trzeciej zgodnie z art. 15 ust. 1 lit. g) RODO, a także kopii dotyczących go danych osobowych. Wniósł on również o zasądzenie od TS na jego rzecz kwoty 800 EUR tytułem odszkodowania za szkodę niemajątkową z powodu zarzucanego naruszenia jego prawa do informacji przewidzianego w art. 15 RODO. TS zakwestionował to roszczenie na tej podstawie, że jedynie podmiot prowadzący szkołę, w imieniu której działał, mogła zostać pociągnięta do odpowiedzialności i że nie przetwarzał on ani nie był w posiadaniu danych osobowych RS. 20.      Sąd pierwszej instancji oddalił powództwo RS. Orzeczenie to zostało następnie utrzymane w mocy przez właściwy sąd drugiej instancji. Oba sądy uznały zasadniczo, że TS działał w jako podmiot wykonawczy podmiotu prowadzącego szkołę, oraz że szkoła przepisała jemu środki przetwarzania danych osobowych (specjalny serwer, służbowy adres poczty elektronicznej). W świetle tych okoliczności stwierdziły one, że uznanie TS za „administratora” w rozumieniu RODO byłoby sprzeczne z ustawą o odpowiedzialności publicznej. Sąd drugiej instancji uznał ponadto, że w każdym razie nie ma obowiązku przechowywania w formie pisemnej nazwiska osoby trzeciej, a tym samym nie ma obowiązku ujawnienia informacji o tożsamości tej osoby. 21.      RS wniósł skargę kasacyjną od orzeczenia wydanego przez sąd drugiej instancji do Oberster Gerichtshof (sądu najwyższego), który jest sądem odsyłającym. 22.      Powziąwszy wątpliwości co do prawidłowej wykładni art. 4 pkt 7, art. 15 ust. 1 lit. g) i art. 82 RODO, sąd odsyłający postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi: „1.      Czy art. 4 pkt 7 [RODO] należy interpretować w ten sposób, że osoba fizyczna, która w ramach wykonywania swoich obowiązków przy przetwarzaniu danych osobowych, przy użyciu oddanych do jej dyspozycji i przepisanych środków, nie działa we własnym interesie osobistym, lecz jako kierownik organizacji (instytucji lub innego organu nieposiadającego osobowości prawnej), za którą stoi jednak podmiot prawny, jest »administratorem«, który może zostać pociągnięty do odpowiedzialności przed sądem? 2. a) Czy art. 15 ust. 1 lit. g) RODO należy interpretować w ten sposób, że w przypadku gdy przetwarzane dane składają się z faktycznego oświadczenia lub oceny na temat osoby, której dane dotyczą, w wiadomości elektronicznej, »wszelkie dostępne informacje o […] źródle [danych]« obejmują tylko autora wiadomości elektronicznej, czy też obejmują również krąg osób, z którymi autor rozmawiał na temat osoby, której dane dotyczą? 2. b) W przypadku gdy niezapisane nazwiska rozmówców stanowią »dostępne informacje o […] źródle [danych]« w rozumieniu art. 15 ust. 1 lit. g) RODO: czy przy wyważaniu interesów osoby, której dotyczy przetwarzanie danych, z interesami takiego rozmówcy ma znaczenie okoliczność, że nie mógł on przewidzieć, iż jego wypowiedzi staną się przedmiotem przetwarzania danych? 3.       Czy art. 82 ust. 2 RODO należy interpretować w ten sposób, że negatywne konsekwencje dla osoby, której dane dotyczą, wynikające z naruszenia tego rozporządzenia, które nastąpiło po przetworzeniu danych osobowych i polegało wyłącznie na naruszeniu obowiązku udzielenia dostępu zgodnie z art. 15 ust. 1 RODO, stanowią szkodę spowodowaną »przetwarzaniem naruszającym niniejsze rozporządzenie« i pociągają za sobą obowiązek naprawienia szkody przez administratora? 4.       W przypadku odpowiedzi twierdzącej na pytania pierwsze lub trzecie: Czy art. 82 RODO stoi na przeszkodzie uregulowaniom krajowym, zgodnie z którymi naprawienia szkody wyrządzonej poszkodowanemu przez [dyrektora generalnego] osoby prawnej w ramach wykonywania ustawy w charakterze władzy publicznej nie można dochodzić od samego [dyrektora generalnego]?” 23.      Wniosek o wydanie orzeczenia w trybie prejudycjalnym z dnia 18 lutego 2025 r. wpłynął do sekretariatu Trybunału w dniu 7 marca 2025 r. Powód w postępowaniu przed sądem odsyłającym, rządy austriacki i włoski oraz Komisja przedstawili uwagi na piśmie. Nie przeprowadzono rozprawy. IV.    Ocena 24.      RODO przyjęto w celu ustanowienia „stabilnych […] ram ochrony danych w Unii”(5) poprzez wzmocnienie i doprecyzowanie praw osób, których dane dotyczą, oraz obowiązków podmiotów przetwarzających dane osobowe(6), a w szczególności zapewnienie osobom fizycznym „wysokiego stopnia ochrony”(7) i „kontroli nad własnymi danymi osobowymi”(8). W tym celu art. 12–15 RODO przyznają osobom, których dane dotyczą, uprawnienie do uzyskania pewnych informacji dotyczących w szczególności przetwarzania(9) ich danych osobowych, a także kategorii danych osobowych i odbiorców. Jak wyjaśniłem we wprowadzeniu, na podstawie art. 15 ust. 1 lit. g) tego rozporządzenia, w przypadku gdy dane osobowe nie są zbierane od osoby, której dotyczą, osoba ta ma również prawo otrzymać „wszelkie dostępne informacje” o źródle tych danych. Obowiązek udzielenia tych informacji spoczywa bezpośrednio na „administratorze”(10). 25.      Jednocześnie motyw 4 RODO wskazuje, że prawo do ochrony danych osobowych, zapisane w art. 8 karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą”), „nie jest prawem bezwzględnym” i „należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych”, w tym z prawem do wolności myśli i wypowiedzi. 26.      Wynika z tego, że istnieją ograniczenia różnych praw, które osoby, których dane dotyczą, wywodzą z RODO i które mają na celu zapewnienie skuteczności prawa do ochrony danych osobowych, w tym prawa do informacji przewidzianego w art. 15 ust. 1 tego rozporządzenia. 27.      Niniejsza sprawa dotyczy ograniczeń tego ostatniego prawa, a dokładniej zakresu, w jakim osoba, której dane dotyczą (w tym przypadku RS, powód przed sądem odsyłającym), ma prawo uzyskania informacji od administratora, dotyczących „źródła” jej danych osobowych na podstawie art. 15 ust. 1 lit. g) RODO. Jeżeli dane te zostały wytworzone przez administratora w wyniku rozmowy z osobą trzecią (jak ma to miejsce w postępowaniu przed sądem odsyłającym), to czy osoba, której dane dotyczą, ma prawo do poznania tożsamości tej osoby trzeciej? 28.      Do tej kwestii, która odpowiada w istocie drugiemu pytaniu prejudycjalnemu przedstawionemu przez Oberster Gerichtshof (sąd najwyższy) odniosę się w sekcji B poniżej. Zanim to uczynię, w odpowiedzi na pytanie pierwsze wyjaśnię najpierw, czy osobę fizyczną, która (jak TS) przetwarza dane osobowe nie we własnym interesie osobistym, lecz w ramach wykonywania swoich obowiązków jako kierownik organizacji (w tym przypadku szkoły) i przy użyciu oddanych do jej dyspozycji i przepisanych przez taką organizację środków, można uznać za „administratora” w rozumieniu art. 4 pkt 7 RODO (sekcja A). 29.      Na końcu odniosę się do pytań trzeciego i czwartego, które dotyczą prawa do odszkodowania przysługującego osobom, których dane dotyczą, przewidzianego w art. 82 RODO. Dokładniej rzecz ujmując, pytanie trzecie dotyczy tego, czy negatywne konsekwencje wynikające z naruszenia obowiązku informacyjnego przewidzianego w art. 15 ust. 1 RODO mogą stanowić „szkody spowodowane przetwarzaniem naruszającym [to] rozporządzenie” w rozumieniu art. 82 ust. 2 tego rozporządzenia (sekcja C). W pytaniu czwartym zwrócono się do Trybunału o zbadanie, czy artykuł ten stoi na przeszkodzie uregulowaniu krajowemu, które przewiduje, że osoby działające jako „dyrektor generalnego”, czyli w imieniu niektórych publicznych podmiotów prawnych, nie mogą zostać pociągnięte do odpowiedzialności za szkody wyrządzone osobom, których dane dotyczą przez te organy działające w charakterze administratorów lub podmiotów przetwarzających (część D). A.      Pojęcie „administratora” (art. 4 pkt 7 RODO) (pytanie pierwsze) 30.      W art. 4 pkt 7 RODO opisano dwie sytuacje, w których „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot” można uznać za „administratora”. Zgodnie bowiem ze zdaniem drugim tego przepisu „w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania” (sytuacja pierwsza)(11). Druga sytuacja ma miejsce, gdy po dokonaniu oceny odpowiednich okoliczności faktycznych uznaje się, że dana osoba „samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania”. Trybunał wskazał, że aby spełnić to kryterium, osoba fizyczna lub prawna musi rzeczywiście „[wpływać] na przetwarzanie danych osobowych”(12). Wynika z tego, że osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, które rzeczywiście mogą ustalać cele i sposoby przetwarzania, zostaną uznane za „administratora”, niezależnie od tego, czy zostały do pełnienia tej roli formalnie wyznaczone (na mocy ustawy, umowy lub w inny sposób)(13). 31.      Pierwsze pytanie sądu odsyłającego dotyczy tej drugiej sytuacji. Sąd ten wskazuje bowiem, że prawo austriackie wyraźnie określa dyrektorów szkół podstawowych jako „administratorów” danych osobowych wyłącznie uczniów. Postępowanie przed sądem odsyłającym nie dotyczy przetwarzania takich danych. Jak już wyjaśniłem, dotyczy ono przetwarzania przez dyrektora szkoły podstawowej (TS) danych osobowych osoby (RS), która została wyznaczona do koordynacji programu kształcenia nauczycieli tejże szkoły. 32.      Oberster Gerichtshof (sąd najwyższy) uważa, że dla ustalenia, czy TS jest „administratorem” w rozumieniu art. 4 pkt 7 RODO istotne są następujące okoliczności: TS działał w ramach wykonywania swoich obowiązków; przetwarzał on dane osobowe nie we własnym interesie osobistym, lecz w interesie szkoły, i robił to przy użyciu oddanych mu do dyspozycji i  przepisanych jemu środków (za pomocą swojego służbowego adresu poczty elektronicznej, komputera szkolnego i specjalnie wyznaczonego serwera). 33.      RS kwestionuje prawidłowość okoliczności faktycznych przedstawionych przez sąd odsyłający. Twierdzi on, że środki użyte przez TS w celu zebrania rozpatrywanych danych osobowych (rozmowa z osobą trzecią) nie były przepisane wobec niego, że TS mógł dążyć do realizacji własnych celów przy zbieraniu tych danych od osoby trzeciej i przy wysyłaniu rozpatrywanej wiadomości elektronicznej (zawierającej dane osobowe) oraz że takie operacje przetwarzania nie były w każdym razie ani „zwyczajne”, ani niezbędne do wykonywania obowiązków TS jako dyrektora szkoły. Zdaniem RS TS przekroczył zatem przysługujący mu zakres uznania i działał poza zakresem swoich obowiązków wynikających z prawa austriackiego. 34.      Przypominam, że w ramach postępowania prejudycjalnego do Trybunału nie należy ustalanie podnoszonych okoliczności faktycznych, a jedynie dokonywanie wykładni odpowiednich przepisów prawa Unii. Zgodnie z orzecznictwem Trybunału sąd krajowy zwraca się z pytaniami dotyczącymi wykładni prawa Unii na gruncie stanu prawnego i faktycznego, za którego ustalenie jest on odpowiedzialny, a prawidłowość tych ustaleń nie podlega ocenie Trybunału(14). 35.      Wynika z tego, że niezależnie od argumentów RS, podsumowanych w pkt 33 powyżej, w celu udzielenia odpowiedzi na pytanie pierwsze ograniczę się do okoliczności faktycznych przedstawionych przez sąd odsyłający opisanych w pkt 32 powyżej. 36.      W tym kontekście jestem zdania, że osoby fizycznej, która (jak TS) przetwarza dane osobowe nie we własnym interesie osobistym, lecz w ramach pełnienia obowiązków kierownika organizacji (w tym przypadku szkoły) i za pomocą narzędzi oddanych jej do dyspozycji i przepisanych przez taką organizację, nie można uznać za „administratora” w rozumieniu art. 4 pkt 7 RODO. Rządy austriacki i włoski oraz Komisja również stoją na takim stanowisku. 37.      W tym względzie przypominam, że Trybunał orzekł, iż art. 4 pkt 7 RODO definiuje pojęcie „administratora” w sposób szeroki. Cel tej szerokiej definicji polega, zgodnie z celem tego rozporządzenia, na zapewnieniu skutecznej ochrony podstawowych praw i wolności osób fizycznych, a także między innymi na zapewnieniu wysokiego poziomu ochrony prawa każdej osoby do ochrony dotyczących jej danych osobowych(15). 38.      Jednocześnie Trybunał podkreślił, że administrator musi „[wpływać] dla własnych interesów na przetwarzanie takich danych”(16). Wobec tego oczywiste jest, że osoby fizycznej lub prawnej, organu publicznego, jednostki lub innego podmiotu, który przetwarza dane osobowe w imieniu kogoś innego, a nie do własnych celów, nie można uznać za „administratora” w rozumieniu art. 4 pkt 7 RODO. 39.      Znajduje to potwierdzenie w motywie 74 tego rozporządzenia, zgodnie z którym obowiązki i odpowiedzialność prawna administratora jest taka sama „za przetwarzanie danych osobowych przez niego samego lub w jego imieniu”(17), a także w orzecznictwie Trybunału dotyczącym art. 29 tego rozporządzenia, zgodnie z którym „każda osoba działająca z upoważnienia administratora […] mająca dostęp do danych osobowych [przetwarza] je wyłącznie na polecenie administratora […]”. Trybunał wywiódł z tego przepisu, że administrator nie może zostać zwolniony z odpowiedzialności z tego tylko powodu, że szkoda ta została spowodowana zawinionym zachowaniem osoby działającej z jego upoważnienia(18). 40.      Ponadto, jak zauważył sąd odsyłający we wniosku o wydanie orzeczenia w trybie prejudycjalnym, orzecznictwo Trybunału zawiera różne przykłady, w których rozpatrywane dane osobowe były przetwarzane przez osobę fizyczną w imieniu podmiotu prawnego i w których podmiot ten (a nie ta osoba fizyczna) został jednak uznany za „administratora”(19). W szczególności Trybunał orzekł, że osoby prawne (takie jak spółki) są odpowiedzialne nie tylko za naruszenia RODO popełnione przez ich przedstawicieli, dyrektorów lub osoby zarządzające, lecz również przez każdą inną osobę działającą w ramach działalności gospodarczej tych osób prawnych i na ich rzecz(20). Moim zdaniem to samo w oczywisty sposób dotyczy każdego „organu publicznego, jednostki lub innego podmiotu”, używając terminów z art. 4 pkt 7 RODO. 41.      Wnioski te są zgodne z wytycznymi EROD 07/2020, wedle których zasadniczo nawet jeżeli konkretna osoba zostanie wyznaczona do przetwarzania danych przez podmiot prawny (przedsiębiorstwo lub organ publiczny), to ten podmiot prawny będzie ponosić ostateczną odpowiedzialność w przypadku naruszenia przepisów na skutek działania w charakterze administratora(21). 42.      Moim zdaniem z powyższych rozważań wynika, że dyrektora szkoły, który (jak TS) przetwarza dane osobowe nie we własnym interesie osobistym (to znaczy nie do własnych celów), lecz jako kierownik takiego podmiotu publicznego, należy uznać za działającego wimieniu tego podmiotu. W takiej sytuacji dyrektora nie można uznać za „administratora” w rozumieniu art. 4 pkt 7 RODO. To raczej szkoła jest „administratorem”(22). 43.      Wniosku tego nie podważa fakt, że sama szkoła nie posiada osobowości prawnej. Trybunał wyjaśnił już bowiem, że podmiot można uznać za „administratora” w rozumieniu tego przepisu, nawet jeśli podmiot ten nie posiada osobowości prawnej(23). 44.      Inny wniosek byłby moim zdaniem uzasadniony tylko wtedy, gdyby sąd odsyłający w ramach oceny przedstawionych mu okoliczności stwierdził, że przetwarzając dane osobowe RS TS działał albo poza zakresem swoim obowiązków, to znaczy realizując wyłącznie własne cele (w którym to przypadku byłby jedynym „administratorem”), albo realizując zarówno własne cele, jak i cele szkoły (jako współadministrator)(24). Jeżeli którakolwiek z tych sytuacji zostałaby ustalona w postępowaniu przed sądem odsyłającym, uważam, że należałoby uznać, że TS określał nie tylko cele, ale również sposoby przetwarzania. W zakresie bowiem, w jakim używa on swojego służbowego adresu poczty elektronicznej, a także komputera szkolnego i udostępnionego mu odrębnego serwera do własnych celów, używanie tych środków jest „niedozwolone” i wówczas nie mogłoby być uznane za przepisane wobec niego. Ustalenie tego należy jednak do sądu odsyłającego. 45.      Na podstawie powyższych rozważań proponuję, aby Trybunał udzielił odpowiedzi przeczącej na pytanie pierwsze. Wobec takiej odpowiedzi uważam, że nie jest konieczne, aby Trybunał odpowiadał na pytania od drugiego do czwartego, które dotyczą obowiązków wynikających z art. 15 ust. 1 lit. g) i art. 82 RODO, którym podlegałaby osoba fizyczna taka jak TS, gdyby była „administratorem” w rozumieniu art. 4 pkt 7 tego rozporządzenia(25). Uważam, że jest tak niezależnie od faktu, że pytania te nie zostały wyraźnie sformułowane jako uzależnione od odpowiedzi na pytanie pierwsze(26). 46.      Niemniej jednak, na wypadek gdyby Trybunał przyjął inny punkt widzenia, a także dla pełności wywodu odniosę się teraz do kwestii merytorycznych podniesionych w pytaniach od drugiego do czwartego. B.      Zakres prawa do informacji o źródle danych osobowych (art. 15 ust. 1 lit. g) RODO) (pytanie drugie) 47.      Pytanie drugie składa się z dwóch części. W części pierwszej sąd odsyłający dąży do ustalenia, czy jeżeli przetwarzane dane składają się z faktycznego oświadczenia lub oceny na temat osoby, której dane dotyczą, zawartych w wiadomości elektronicznej, art. 15 ust. 1 lit. g) RODO należy interpretować w ten sposób, że „wszelkie dostępne informacje o […] źródle [danych]” obejmują tylko autora wiadomości elektronicznej, czy też obejmują również osobę, z którą autor (bezpośrednio) rozmawiał na temat osoby, której dane dotyczą i na opinii której oparto takie faktyczne oświadczenie lub ocenę. 48.      Dla kontekstu przypominam, że w postępowaniu przed sądem odsyłającym RS podnosi, iż na podstawie art. 15 ust. 1 lit. g) RODO powinien być uprawniony do otrzymania od TS (którego uważa za „administratora” w rozumieniu art. 4 pkt 7 tego rozporządzenia) informacji o tożsamości osoby trzeciej (z którą TS omówił reputację RS), ponieważ tę osobę trzecią należy uznać za „źródło” danych osobowych – opinii dotyczącej RS – zawartych w rozpatrywanej wiadomości elektronicznej. 49.      Część druga dotyczy kwestii, czy w przypadku gdyby Trybunał orzekł, że tożsamość takiej osoby trzeciej stanowi „dostępne informacje o […] źródle [danych]” w rozumieniu art. 15 ust. 1 lit. g) RODO, przy wyważaniu interesów osoby, której dotyczy przetwarzanie danych, z interesami takiego rozmówcy ma znaczenie okoliczność, że ten drugi nie mógł przewidzieć, iż jego wypowiedzi staną się przedmiotem przetwarzania danych. 1.      Pierwsza część pytania drugiego 50.      Na wstępie pragnę przypomnieć, że Trybunał orzekł, iż użycie w definicji „danych osobowych” zawartej w art. 4 pkt 1 RODO wyrażenia „wszelkie informacje” odzwierciedla przyświecający unijnemu prawodawcy zamiar przypisania szerokiego zakresu temu pojęciu, które potencjalnie obejmuje informacje wszelkiego rodzaju, zarówno obiektywne, jak i subiektywne, w postaci opinii czy oceny, a jedynym warunkiem, jaki muszą one spełniać jest to, aby „dotyczyły” danej osoby(27). 51.      Jak słusznie zakłada sąd odsyłający, wynika z tego, że opinia („ocena”) na temat osoby, której dane dotyczą (w tym przypadku RS), zawarta w wiadomości elektronicznej (w tym przypadku wiadomości elektronicznej wysłanej przez TS do uniwersytetu nauk pedagogicznych) stanowi „dane osobowe” w rozumieniu art. 4 pkt 1 RODO. 52.      Co się tyczy „źródła” w rozumieniu art. 15 ust. 1 lit. g) RODO takiej opinii lub faktycznego oświadczenia na temat osoby, której dane dotyczą zawartych w wiadomości elektronicznej, pragnę zauważyć, że ani ten przepis, ani żaden inny przepis tego rozporządzenia nie definiuje tego pojęcia. W braku takiej definicji należy, zgodnie z utrwalonym orzecznictwem, uwzględnić nie tylko zwyczajowe znaczenie terminu „źródło” w języku potocznym, ale także kontekst tego przepisu oraz cele regulacji, której część on stanowi(28). 53.      „Źródło” czegoś jest definiowane w jego zwykłym znaczeniu jako „osoba, miejsce lub rzecz, od lub z których się to otrzymuje”(29). Wobec tego w przypadku informacji, które mają zostać ujawnione na podstawie art. 15 ust. 1 lit. g) RODO, należy zbadać pochodzenie tych danych osobowych. Ponadto, ponieważ art. 15 ust. 1 lit. g) RODO ma zastosowanie wyłącznie „jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą”, oczywiste jest, że zgodnie z tym przepisem „źródłem” nie może być sama osoba, której dane dotyczą. 54.      Jeśli chodzi o kontekst art. 15 ust. 1 lit. g) RODO, pragnę zauważyć, że termin „źródło” występuje również w art. 14 ust. 2 lit. f) tego rozporządzenia, który przewiduje prawo do uzyskania od administratora informacji o „[źródle] pochodzenia danych osobowych”(30), jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą. Moim zdaniem potwierdza to, że termin „źródło” w art. 15 ust. 1 lit. g) RODO oznacza pochodzenie danych osobowych. 55.      Wreszcie, co się tyczy celów RODO, należy przypomnieć, że art. 15 RODO „uzupełnia odnoszące się do przejrzystości ramy regulacyjne ustanowione w tym rozporządzeniu, przyznając osobie, której dane dotyczą, prawo dostępu do jej danych osobowych oraz prawo do informacji o przetwarzaniu tych danych”(31). 56.      Ustęp 1 lit. a)–h) tego artykułu ma na celu uskutecznienie tego ostatniego prawa. Przewidując, że osoba, której dane dotyczą, ma prawo do informacji dotyczących przetwarzania jej danych osobowych, przepis ten umożliwia jej ocenę prawidłowości danych osobowych i zgodności przetwarzania z prawem, a także skuteczne wykonywanie praw pokrewnych przewidzianych w tym rozporządzeniu, w szczególności prawa do sprostowania danych, prawa do usunięcia danych („prawa do bycia zapomnianym”), prawa do ograniczenia przetwarzania i prawa do sprzeciwu(32) – mających na celu wzmocnienie „kontroli” nad danymi osobowymi osoby, której dotyczą(33). 57.      Uważam, że to w odniesieniu do tej szczególnej funkcji należy określić zakres prawa do informacji o „źródle” danych osobowych przewidzianego w art. 15 ust. 1 lit. g) RODO(34). Tak więc należy zbadać, czy informacje, o których udostępnienie wystąpiono na podstawie tego przepisu, są niezbędne do tego, aby osoba, której dane dotyczą, zapewniła prawidłowość swoich danych osobowych lub zgodność z prawem przetwarzania tych danych lub aby osoba, której dane dotyczą, skutecznie skorzystała z praw przyznanych jej na mocy tego rozporządzenia(35). 58.      Moim zdaniem ma to miejsce na przykład w przypadku, gdy osoba, której dane dotyczą, powołuje się na art. 15 ust. 1 lit. g) RODO, aby poznać „źródło” niedokładnych danych jej dotyczących w celu zapobieżenia dalszemu przekazywaniu przez różnych administratorów(36) (czyli zapobiec dalszemu „przetwarzaniu”), lub gdy ujawnienie dostępnych informacji dotyczących „źródła” odpowiednich danych osobowych umożliwia osobie, której dane dotyczą, ustalenie, że uprzednie przetwarzanie lub zestaw operacji objętych przedmiotowym zakresem stosowania RODO przeprowadzono w odniesieniu do tych samych danych – w odniesieniu do których jest ona uprawniona do wykonywania praw przysługujących jej na mocy tego rozporządzenia. 59.      Przedstawiwszy te wyjaśnienia, pragnę zauważyć, że Komisja i rząd włoski uważają, iż w przypadku gdy odpowiednie dane osobowe składają się z opinii („oceny”) lub faktycznego oświadczenia na temat osoby, której dane dotyczą, zawartych w wiadomości elektronicznej, to „źródłem” takiej opinii jest autor wiadomości elektronicznej (w niniejszej sprawie TS). Podnoszą one, że w takiej sytuacji art. 15 ust. 1 lit. g) RODO należy interpretować w ten sposób, że „wszelkie dostępne informacje o […] źródle” danych nie obejmują tożsamości osób, z którymi autor rozmawiał na temat osoby, której dane dotyczą, przed wyrobieniem sobie opinii lub napisaniem faktycznego oświadczenia o tej osobie. 60.      Zgadzam się z tym. Jednakże moim zdaniem taki wniosek można wyciągnąć jedynie pod warunkiem, że opinia („ocena”) lub faktyczne oświadczenie na temat danej osoby zawarte w wiadomości elektronicznej mogą rzeczywiście zostać przypisane autorowi tej wiadomości. W tym względzie zgadzam się z Komisją, że okoliczność, iż autor odnosi się w wiadomości elektronicznej do opinii innych osób dotyczących osoby, której dane dotyczą, jest bez znaczenia, dopóki przedmiotowe dane osobowe (czyli opinia lub faktyczne oświadczenie) mogą być przypisane samemu autorowi i nie stanowią jedynie cytowania tych opinii. Uważam bowiem, że w tym ostatnim przypadku „źródłem” danych osobowych (opinii) byłaby osoba trzecia lub osoby trzecie, których punkt widzenia jest cytowany, a nie autor wiadomości elektronicznej. 61.      W niniejszej sprawie do sądu odsyłającego należy ustalenie, w świetle przedstawionych przed nim okoliczności faktycznych, czy opinię (zwaną dalej „oceną”) dotyczącą RS zawartą w rozpatrywanej wiadomości elektronicznej można rzeczywiście przypisać TS, czy też przeciwnie, chodzi jedynie o opinie wcześniej przedstawione TS przez osobę trzecią (a mianowicie przez innego nauczyciela, z którym TS rozmawiał o RS), które to opinie TS jedynie powtórzył lub przytoczył w wiadomości elektronicznej, jak zdaje się twierdzić RS(37). Gdyby sąd ten stwierdził, że opinię na temat RS zawartą w rozpatrywanej wiadomości elektronicznej można przypisać TS, to uważam, podobnie jak Komisja i rząd włoski, że prawo RS do informacji o „źródle” tej opinii, o którym mowa w art. 15 ust. 1 lit. g) RODO nie mogłoby rozciągać się na otrzymanie informacji dotyczących takiej osoby trzeciej, ponieważ jedynie TS można by uznać za „źródło” rozpatrywanej opinii. 62.      Niemniej jednak sąd odsyłający zastanawia się, czy z faktu, że art. 15 ust. 1 lit. g) RODO odnosi się nie tylko do „źródła” odpowiednich danych osobowych, lecz również do „wszelkich dostępnych informacji o [tym] źródle”, wynika, że nawet jeżeli „źródłem” opinii lub faktycznego oświadczenia na temat osoby, której dane dotyczą, zawartych w wiadomości elektronicznej, jest autor tej wiadomości, osoba, której dane dotyczą, ma prawo do otrzymania informacji o czynnikach lub osobach, które przyczyniły się do powstania takiej opinii lub do sformułowania takiego faktycznego oświadczenia przez autora (na przykład tożsamość osoby trzeciej, z którą autor rozmawiał). 63.      W tym względzie, po pierwsze, zgadzam się z rządem włoskim i Komisją, że taka wykładnia art. 15 ust. 1 lit. g) RODO byłaby zbyt szeroka, biorąc pod uwagę mnogość elementów, które mogą wchodzić w grę, w szczególności przy formułowaniu opinii. Tytułem przykładu można przywołać okoliczności, które doprowadziły do wydania wyroku w sprawie Nowak(38). Część rozpatrywanych danych osobowych stanowiły subiektywne uwagi egzaminatora na arkuszu egzaminacyjnym. Czy w takiej sytuacji „wszelkie dostępne informacje o [źródle]” danych osobowych w rozumieniu art. 15 ust. 1 lit. g) RODO mogą obejmować wszelkie informacje dotyczące osób, z którymi egzaminator mógł mieć styczność przy ocenie arkuszy egzaminacyjnych – od, na przykład, współpracownika, który doradzał w sprawie oceny odpowiedzi kandydatów po sąsiada, hałasującego w sposób wyjątkowo irytujący, drażniąc egzaminatora tak bardzo, że oceniał on bardziej rygorystycznie niż zazwyczaj? Moim zdaniem nie. 64.      Po drugie, zważywszy na szczególną funkcję prawa do informacji o źródle danych osobowych przewidzianego w art. 15 ust. 1 lit. g) RODO, przedstawioną w pkt 57 powyżej, nie widzę, w jaki sposób uzyskanie informacji na temat tożsamości osoby trzeciej, która nie jest „źródłem” odpowiednich danych osobowych (w tym przypadku opinii lub oświadczenia faktycznego na temat osoby, której dane dotyczą, zawartych w wiadomości elektronicznej), a która jedynie przyczyniła się do powstania takiej opinii lub do sformułowania przez autora wiadomości elektronicznej takiego oświadczenia w następstwie rozmowy z nią, umożliwiłoby osobie, której dane dotyczą, zagwarantowanie prawidłowości jej danych osobowych lub zgodności z prawem przetwarzania tych danych albo wykonanie praw przysługujących jej na podstawie RODO. 65.      Po trzecie, jak już wskazano w pkt 25 i 26 powyżej, w motywie 4 RODO wyjaśniono, że prawo do ochrony danych osobowych nie jest w żadnym wypadku „prawem bezwzględnym” i „należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych”, w tym prawa do wolności myśli i wypowiedzi. To samo dotyczy różnych praw, które osoby, których dane dotyczą, wywodzą z RODO i które mają na celu zapewnienie skuteczności prawa do ochrony danych osobowych, takich jak prawo dostępu do danych osobowych przewidziane w art. 15 RODO(39), co do którego Trybunał stwierdził, że nie powinno negatywnie wpływać na prawa lub wolności innych osób(40). Oczywiste jest, że podobne wyważenie należy również przeprowadzić w odniesieniu do prawa do informacji o źródle danych osobowych z art. 15 ust. 1 lit. g) RODO. 66.      W tym kontekście wydaje mi się oczywiste, że ujawnienie tożsamości osoby trzeciej, która sama nie jest „źródłem” odpowiednich danych osobowych (w niniejszej sprawie opinii lub faktycznego oświadczenia na temat osoby, której dane dotyczą, zawartych w wiadomości elektronicznej), lecz która po prostu przyczyniła się do powstania takiej opinii lub do sformułowania przez autora wiadomości elektronicznej takiego oświadczenia w następstwie rozmowy z nią, niesłusznie zachwiałoby równowagę na korzyść osoby, której dane dotyczą, naruszając liczne prawa lub wolności osoby trzeciej, w szczególności jej prawo do wolności myśli i wypowiedzi(41) albo prawo do prywatności i poszanowania komunikowania się(42). 67.      Z powyższych rozważań wynika, że w przypadku gdy „źródłem” opinii („oceny”) lub faktycznego oświadczenia na temat osoby, której dane dotyczą, zawartych w wiadomości elektronicznej jest sam autor tej wiadomości, osoba, której dane dotyczą, nie jest uprawniona na podstawie art. 15 ust. 1 lit. g) RODO do otrzymania informacji na temat elementów lub osób (takich jak tożsamość osoby trzeciej, z którą sprawca odbył rozmowę), które przyczyniły się do powstania takiej opinii lub do sformułowania przez autora takiego faktycznego oświadczenia. 68.      Tytułem uwagi końcowej przypominam, że art. 15 ust. 1 lit. g) RODO przyznaje osobom, których dane dotyczą, prawo do „wszelkich dostępnych informacji o […] źródle” dotyczących ich danych osobowych, a nie prawo do wszelkich informacji o źródłach danych osobowych i źródłach tych źródeł. Gdyby Trybunał, wbrew mojej sugestii, przyjął wykładnię tego przepisu przedstawioną w pkt 62 powyżej, skutkowałoby to tym, że jeżeli źródłem danych osobowych byłby na przykład plik lub rejestr, osoba, której dane dotyczą, byłaby uprawniona na podstawie art. 15 ust. 1 lit. g) RODO nie tylko do „wszelkich dostępnych informacji” o tym pliku lub rejestrze, ale również o wszelkich wcześniejszych plikach lub rejestrach, na których są one oparte. Innymi słowy, zakres tego przepisu stałby się nieograniczony. 2.      Druga część pytania drugiego 69.      Druga część pytania drugiego dotyczy sytuacji, w której to osobę trzecią, a nie autora wiadomości elektronicznej, należy uznać za „źródło” rozpatrywanych danych osobowych, w tym przypadku opinii lub oświadczenia faktycznego dotyczącego osoby, której dane dotyczą, zawartych w wiadomości elektronicznej. Jak wyjaśniłem w pkt 60 powyżej, sytuacja taka ma miejsce tylko wtedy, gdy opinii lub oświadczenia z wiadomości elektronicznej nie można przypisać autorowi tej wiadomości, ponieważ zawiera ona jedynie powtórzenie lub przytoczenie opinii wyrażonej wcześniej przez osobę trzecią. 70.      Moim zdaniem w takiej sytuacji jest oczywiste, że wyważenie interesów, o którym mowa w pkt 65 powyżej, również miałoby zastosowanie. Innymi słowy, ujawnienie tożsamości „źródła” odpowiednich danych osobowych na podstawie art. 15 ust. 1 lit. g) RODO nie byłoby automatyczne. Należy uwzględnić i wyważyć również prawa i wolności osoby uznanej za „źródło” z prawem osoby, której dane dotyczą, do uzyskania informacji o źródle danych osobowych na podstawie tego przepisu. 71.      W tym względzie okoliczność, że dana osoba trzecia nie mogła przewidzieć, iż jej oświadczenia będą przedmiotem przetwarzania, stanowi istotny element. Sugeruje on bowiem, że osoba trzecia zaangażowała się w coś, co zakładała, że będzie rozmową poufną lub prywatną, której treść i fakt uczestnictwa w niej, zgodnie z jej oczekiwaniami miały nie być ujawnione osobie, której dane dotyczą, na mocy przepisów RODO. Moim zdaniem w takiej sytuacji należy położyć szczególny nacisk na znaczenie poszanowania prawa osoby trzeciej do wolności myśli i wypowiedzi(43) oraz do prywatności i poszanowania komunikowania się(44). 72.      Ponadto nie dostrzegam, w jaki sposób, nawet jeśli opinia lub oświadczenie na temat osoby, której dane dotyczą, zawarte w wiadomości elektronicznej polegają jedynie na powtórzeniu lub przytoczeniu opinii wyrażonych uprzednio ustnie przez osobę trzecią, uzyskanie informacji na temat tożsamości tej osoby („źródła”) na podstawie art. 15 ust. 1 lit. g) RODO mogłoby przyczynić się do osiągnięcia celu tego przepisu, którym jest, jak wskazałem w pkt 57 powyżej, umożliwienie osobie, której dane dotyczą, zapewnienia w szczególności prawidłowości jej danych osobowych. Opinie są bowiem z natury subiektywne. Oznacza to, że w przeciwieństwie do faktycznych oświadczeń ich trafność lub prawidłowość jest trudna do zweryfikowania(45). C.      Prawo do odszkodowania na podstawie art. 82 RODO z tytułu naruszenia art. 15 ust. 1 RODO (pytanie trzecie) 73.      Poprzez pytanie trzecie sąd odsyłający dąży do ustalenia, czy negatywne konsekwencje dla osoby, której dane dotyczą, wynikające z naruszenia przez administratora obowiązku informacyjnego przewidzianego w art. 15 ust. 1 RODO (w niniejszej sprawie obowiązku udzielenia informacji o „źródle” zebranych danych osobowych, o którym mowa w lit. g) tego przepisu), stanowią „szkody spowodowane przetwarzaniem naruszającym [to] rozporządzenie”, powodując powstanie odpowiedzialności administratora i odpowiadającego jej obowiązku naprawienia szkody poniesionej przez osobę, której dane dotyczą. 74.      Sąd ten wyjaśnia, że zasadniczo zwraca się on do Trybunału o wyjaśnienie, czy naruszenie tego obowiązku może stanowić podstawę roszczenia odszkodowawczego osoby, której dane dotyczą, na podstawie art. 82 RODO rozpatrywanego jako całość. Dokładniej rzecz ujmując, czy TS należy uznać za „administratora” w rozumieniu art. 4 pkt 7 tego rozporządzenia, działającego z naruszeniem art. 15 ust. 1 lit. g) tego rozporządzenia, i czy RS ma prawo do odszkodowania na podstawie art. 82 RODO? Proponuję zatem, aby Trybunał przeformułował pytanie trzecie, tak aby uwzględnić wykładnię tego przepisu w całości, zamiast ograniczać się do ust. 2(46). 75.      Przechodząc teraz do wykładni art. 82 RODO, rozumiem, że wątpliwości sądu odsyłającego co do wykładni tego przepisu wynikają z faktu, że obowiązek informacyjny przewidziany w art. 15 ust. 1 tego rozporządzenia powstaje dopiero po danym przetwarzaniu danych osobowych(47), a także w sytuacji, gdy przetwarzanie w ogóle nie miało miejsca(48), podczas gdy art. 82 ust. 2 RODO dotyczy „szkód spowodowanych przetwarzaniem […]”(49). Wobec takiego brzmienia można zakładać, jak wydaje się czynić ten sąd, że prawo do odszkodowania przewidziane w art. 82 tego rozporządzenia powstaje wyłącznie w odniesieniu do szkód spowodowanych przetwarzaniem sprzecznym z RODO, a nie w odniesieniu do szkód wynikających z naruszenia obowiązku przewidzianego w tym akcie prawnym, które – podobnie jak obowiązek informacyjny przewidziany w art. 15 ust. 1 tego rozporządzenia – ma miejsce po takim przetwarzaniu lub niezależnie od niego. 76.      Moim zdaniem jest jednak jasne, że prawo do odszkodowania przewidziane w pierwszym przepisie rozciąga się na szkody spowodowane naruszeniem tego obowiązku. 77.      Po pierwsze, co się tyczy genezy art. 82 RODO, przypominam, że analogiczny przepis jego poprzednika prawnego, a mianowicie art. 23 dyrektywy 95/46 odnosił się do „szkody [poniesionej] wskutek niezgodnej z prawem operacji przetwarzania danych lub innej czynności niezgodnej z przepisami krajowymi przyjętymi zgodnie z [dyrektywą 95/46]”. Jest oczywiste, że przyjmując RODO prawodawca Unii nie zamierzał obniżyć poziomu ochrony przyznanego osobom, których dane dotyczą, w porównaniu z poziomem ochrony przyznanym im na mocy dyrektywy 95/46, a wręcz przeciwnie(50). 78.      W tym względzie pragnę jeszcze zauważyć, że w toku procesu legislacyjnego, który doprowadził do przyjęcia RODO, Rada sugerowała ograniczenie prawa osób, których dane dotyczą do odszkodowania, do szkód, które są „wynikiem przetwarzania niezgodnego z [RODO]”(51). Ograniczenie to nie pojawia się jednak w ostatecznej wersji art. 82 tego rozporządzenia. 79.      Po drugie, art. 82 RODO pełni dwojaką funkcję. Po pierwsze, przyznaje on osobie, której dane dotyczą, prawo do odszkodowania i ustanawia zasadniczo odpowiadającą mu odpowiedzialność administratora lub podmiotu przetwarzającego za poniesioną szkodę (art. 82 ust. 1). Po drugie, określa on konkretne warunki, na jakich administrator lub podmiot przetwarzający albo oba te podmioty mogą zostać pociągnięte do odpowiedzialności (lub zwolnione z odpowiedzialności) za tą szkodę, a także sposób, w jaki odpowiedzialność powinna zostać podzielona między nimi, jeżeli w danym przetwarzaniu danych uczestniczyło więcej niż jedna strona (art. 82 ust. 2–5). 80.      Wynika z tego, że art. 82 ust. 2 RODO nie ma na celu określenia zakresu prawa do odszkodowania przysługującego osobom, których dane dotyczą, jako takiego. Chodzi raczej o określenie ram odpowiedzialności – która jako zasada została ustanowiona w ust. 1 tego artykułu(52). 81.      Zakres prawa do odszkodowania należy natomiast określić w świetle brzmienia art. 82 ust. 1 RODO, który nie zawiera tego samego ograniczenia co ust. 2 tego artykułu, jako że stanowi on w sposób bardziej ogólny, że „[k]ażda osoba, która poniosła szkodę majątkową lub niemajątkową wwyniku naruszenia [tego] rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę”(53).      Nie ma żadnego odniesienia do „przetwarzania”. 82.      Wobec powyższego uważam, że zawarte w art. 82 ust. 2 RODO odniesienie do „szkód spowodowanych przetwarzaniem” nie może być interpretowane jako ograniczające zakres prawa do odszkodowania przewidzianego w art. 82 ust. 1 tego rozporządzenia wyłącznie do takich szkód. Podobny wniosek wyciągnął rzecznik generalny M. Szpunar w opinii w sprawie Brillen Rottler(54), w której uznał art. 82 ust. 2 RODO za „regułę uzupełniającą”, a nie ograniczenie ust. 1 tego artykułu. 83.      Ponadto w niedawnym wyroku w tej sprawie(55) Trybunał wprost orzekł, że ponieważ art. 82 ust. 1 RODO nie zawiera odniesienia do „przetwarzania”, „prawo do odszkodowania nie może być ograniczone do szkód wynikających z przetwarzania danych osobowych”(56). 84.      W wyroku tym Trybunał przypomniał również, że art. 82 ust. 1 RODO znajduje się w rozdziale VIII tego rozporządzenia, który reguluje środki ochrony prawnej, zasady odpowiedzialności i sankcje mające na celu ochronę tych praw, oraz że należy go interpretować w świetle motywu 141 RODO, zgodnie z którym każda osoba, której dane dotyczą, powinna mieć prawo do skutecznego środka ochrony prawnej przed sądem zgodnie z art. 47 Karty, jeżeli „uzna ona, że prawa przysługujące jej na mocy [tego] rozporządzenia zostały naruszone”(57). Trybunał dodał, że obejmuje to prawo dostępu osoby, której dane dotyczą, do jej danych osobowych na podstawie art. 15 ust. 1 RODO. Prawo to, a także inne prawa przyznane osobom, których dane dotyczą, w art. 15 tego rozporządzenia, w tym prawo do uzyskania informacji wymienionych w jego ust. 1 lit. a)–h), powinny zatem być chronione przez art. 82 RODO, który należy wobec tego interpretować w ten sposób, że ma on zastosowanie do szkód wynikających z naruszeń tych praw. 85.      Po trzecie, wydaje mi się oczywiste, że ograniczenie prawa osoby, której dane dotyczą, do uzyskania odszkodowania na podstawie tego przepisu do szkód spowodowanych przetwarzaniem niezgodnym z prawem byłoby również niezgodne z celami realizowanymi przez to rozporządzenie jako całość, które polegają, jak wskazałem w pkt 24 powyżej, na zapewnieniu „wysokiego stopnia ochrony” i wzmocnieniu […] praw osób, których dane dotyczą, oraz obowiązków podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu. W wyroku w sprawie Brillen Rottler(58) Trybunał stwierdził zasadniczo, że art. 82 RODO ma na celu zapewnienie realizacji tych celów. 86.      Jak słusznie zauważyła Komisja, gdyby prawo osoby, której dane dotyczą, do uzyskania odszkodowania na podstawie tego przepisu było ograniczone do szkód spowodowanych niezgodnym z prawem przetwarzaniem danych, miałoby to wpływ nie tylko na ochronę praw przewidzianych w art. 15 tego rozporządzenia, lecz również na niemal wszystkie prawa osób, których dane dotyczą, wynikające z rozdziału III RODO(59), które stałyby się w dużej mierze symboliczne(60). Każdemu z tych praw towarzyszy bowiem odpowiadający mu obowiązek administratorów danych, który powstaje dopiero po(61) rozpatrywanym przetwarzaniu danych (z którego wynika roszczenie)(62). 87.      Z tych względów uważam, że negatywne konsekwencje poniesione przez osobę, której dane dotyczą, w wyniku naruszenia obowiązku informacyjnego przewidzianego w art. 15 ust. 1 RODO można uznać za stanowiące „szkodę” w rozumieniu art. 82 tego rozporządzenia, przez co na podstawie tego przepisu powstaje obowiązek zapłacenia przez administratora odszkodowania osobie, której dane dotyczą. D.      Czy art. 82 RODO stoi na przeszkodzie przepisom krajowym przewidującym wyłączenie odpowiedzialności administratora (pytanie czwarte) 88.      Przeanalizuję teraz pytanie czwarte, w którym sąd odsyłający zmierza do ustalenia, w razie udzielenia przez Trybunał odpowiedzi twierdzącej na pytanie pierwsze lub trzecie, czy art. 82 RODO stoi na przeszkodzie przepisom krajowym przewidującym, że osoby działające jako „podmiot wykonawczy”, to znaczy w imieniu niektórych publicznych podmiotów prawnych, nie mogą zostać pociągnięte do odpowiedzialności za szkody wyrządzone przez te osoby działające w charakterze administratorów lub podmiotów przetwarzających osobom, których dane dotyczą. 89.      Pytanie to zostało zadane w odniesieniu do niektórych szczególnych cech prawa austriackiego, a mianowicie tych określonych w § 1 ustawy o odpowiedzialności publicznej, który stanowi, że osoby działające jako „podmiot wykonawczy” rządu federalnego, krajów związkowych, gmin, innych osób prawnych prawa publicznego i instytucji ubezpieczenia społecznego nie ponoszą odpowiedzialności za szkodę wyrządzoną przy wykonywaniu ustaw jakiejkolwiek osobie w wyniku niezgodnego z prawem zachowania. W konsekwencji naprawienie szkody nie może być dochodzone od takich osób na podstawie art. 82 RODO(63). 90.      W niniejszej sprawie rozumiem, że należy uznać, iż TS, działający jako dyrektor szkoły podstawowej w Austrii, działa jako „podmiot wykonawczy” danego kraju związkowego (ponieważ zgodnie z prawem austriackim szkoły nie mają osobowości prawnej i w związku z tym nie mogą być pozywane). Z § 1 ustawy o odpowiedzialności publicznej wynika, że nawet jeśli TS spełniał wszystkie przesłanki konieczne do uznania go za „administratora” w rozumieniu art. 4 pkt 7 RODO w odniesieniu do przetwarzania danych osobowych rozpatrywanego w postępowaniu przed sądem odsyłającym (co, jak wyjaśniłem, według mnie nie miało miejsca), RS nie mógł przeciwko niemu wystąpić z roszczeniem odszkodowawczym na podstawie art. 82 tego rozporządzenia z tytułu szkody, jaka miała zostać spowodowana naruszeniem przez TS art. 15 ust. 1 lit. g) tego rozporządzenia. Sąd odsyłający dąży do ustalenia, czy taki przepis krajowy jest sprzeczny z art. 82 RODO. 91.      W moim przekonaniu tak nie jest. Przepis krajowy taki jak § 1 ustawy o odpowiedzialności publicznej sam w sobie nie stoi bowiem na przeszkodzie wystąpieniu przez osobę, której dane dotyczą, z roszczeniem odszkodowawczym, jeżeli rozpatrywanego naruszenia RODO dopuściła się osoba działająca w imieniu publicznego podmiotu prawnego. Wręcz przeciwnie, przenosi on jedynie odpowiedzialność odszkodowawczą na dany podmiot. 92.      Wydaje się, że głównym celem takiego przeniesienia odpowiedzialności jest zapewnienie ochrony poszkodowanemu poprzez zagwarantowanie mu wypłacalnego dłużnika(64). Tak więc wbrew temu, co twierdzi powód w postępowaniu przed sądem odsyłającym, uzasadnieniem przepisu krajowego takiego jak § 1 ustawy o odpowiedzialności publicznej nie jest ograniczenie ochrony prawnej osób, których dane dotyczą, lecz raczej jej wzmocnienie. 93.      W świetle tych rozważań nie widzę, w jaki sposób taki przepis krajowy mógłby zostać uznany za niezgodny z art. 82 RODO. 94.      Przyznaję, że art. 82 ust. 2 tego rozporządzenia, który stanowi, że „każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym [RODO]”, można na pierwszy rzut oka rozumieć w ten sposób, że nakłada on bezpośrednią odpowiedzialność na administratora. 95.      Jednakże zgodnie z utrwalonym orzecznictwem Trybunału(65) uzasadnieniem art. 82 RODO jest zapewnienie osobie, której dane dotyczą, pełnego i skutecznego naprawienia szkody poniesionej w wyniku naruszenia RODO(66). Jak już wskazałem w pkt 84 powyżej, przepis ten znajduje się w rozdziale VIII tego rozporządzenia, który reguluje środki ochrony prawnej, zasady odpowiedzialności i sankcje mające na celu ochronę tych praw. Należy go zatem interpretować w świetle motywu 141 RODO, który wyraźnie odnosi się do prawa osób, których dane dotyczą do skutecznego środka ochrony prawnej przed sądem w przypadku naruszenia ich praw wynikających z tego rozporządzenia, zgodnie z art. 47 Karty. 96.      Moim zdaniem bez znaczenia jest zatem to, czy odszkodowanie zostanie zapłacone bezpośrednio przez administratora, podmiot przetwarzający czy publiczny podmiot prawny, który zatrudnia lub odpowiada za taką osobę. Istotne jest, aby szkoda rzeczywiście poniesiona przez osobę, której dane dotyczą, w wyniku naruszenia RODO została w pełni naprawiona. 97.      Wniosku tego nie podważa porównanie art. 82 RODO do art. 83 ust. 7 tego rozporządzenia, który wyraźnie pozostawia uznaniu państw członkowskich określenie zakresu, w jakim administracyjne kary pieniężne mogą być nakładane na organy i podmioty publiczne a tym samym na podmioty wykonawcze. Zdaniem RS brak jakiegokolwiek podobnego zakresu uznania w art. 82 RODO można interpretować jedynie w ten sposób, że państwa członkowskie nie są uprawnione do wyłączenia odpowiedzialności odszkodowawczej organów publicznych w ramach prawa prywatnego. 98.      Argument ten nie uwzględnia jednak faktu, że art. 82 i art. 83 RODO realizują różne cele(67). Pierwszy przepis ma wyłącznie funkcję kompensacyjną (innymi słowy, dotyczy naprawienia szkody poniesionej przez osobę, której dane dotyczą), podczas gdy drugi przepis ma cel represyjny(68). Uważam, że ze względu na ten cel represyjny administracyjne kary pieniężne powinny co do zasady być bezpośrednio „związane” z danym administratorem lub podmiotem przetwarzającym. 99.      Ponadto, jak wskazałem w pkt 91 powyżej, przepis krajowy taki jak § 1 ustawy o odpowiedzialności publicznej jedynie przenosi odpowiedzialność odszkodowawczą z osoby działającej w imieniu danego podmiotu publicznego na ten podmiot(69). Natomiast gdy państwo członkowskie ustanawia przepisy na podstawie art. 83 ust. 7 tego rozporządzenia, może ono w ogóle wyłączyć nakładanie administracyjnych kar pieniężnych na swoje organy i podmioty publiczne. 100. W tych okolicznościach uważam, że art. 82 RODO nie stoi na przeszkodzie uregulowaniu krajowemu, na mocy którego osoby działające w imieniu niektórych publicznych podmiotów prawnych działających w charakterze administratorów lub podmiotów przetwarzających nie mogą zostać pociągnięte do odpowiedzialności za szkody wyrządzone przez nie osobom, których dane dotyczą, pod warunkiem że przepisy te określają również podmiot, od którego takie osoby, których dane dotyczą, mogą dochodzić odszkodowania. V.      Wnioski 101. W świetle powyższych rozważań proponuję, aby na pytania prejudycjalne zadane przez Oberster Gerichtshof (sąd najwyższy, Austria) Trybunał odpowiedział w następujący sposób: Artykuł 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że osoby fizycznej, która w ramach wykonywania swoich obowiązków przetwarza dane osobowe działając nie we własnym interesie osobistym, lecz jako kierownik organizacji, przy użyciu oddanych do jej dyspozycji i przepisanych przez taką organizację środków nie można uznać za „administratora” w rozumieniu tego przepisu. 1      Język oryginału: angielski. i      Niniejszej sprawie została nadana fikcyjna nazwa. Nie odpowiada ona rzeczywistej nazwie ani rzeczywistemu nazwisku żadnej ze stron postępowania. 2      Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1–88, zwane dalej w skrócie „RODO”). 3      Zobacz art. 4 ust. 1 RODO. 4      Ibidem. 5      Zobacz motyw 7 RODO. 6      Zobacz motyw 11 RODO. 7      Zobacz art. 1 ust. 2 RODO i motyw 10 tego rozporządzenia. 8      Zobacz motyw 7 RODO. Rozporządzenie to opiera się na koncepcji osoby, której dane dotyczą, jako osoby czynnej, zdolnej do podejmowania decyzji w odniesieniu do dotyczących jej danych osobowych (zobacz I. Spieckergen Döhmann, V. Papakonstantinou, G. Hornung i P. De Hert, General Data Protection Regulation: Article-by-Article Commentary, Nomos Baden-Baden 2023, s. 86). 9      „Przetwarzanie” zdefiniowano w art. 4 pkt 2 RODO jako „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”. 10      Zobacz art. 15 ust. 1 RODO: „[o]soba, której dane dotyczą, jest uprawniona do uzyskania od administratora […]” (wyróżnienie dodane). 11      W takiej sytuacji „cele i sposoby przetwarzania danych osobowych” są same w sobie określane przez prawo Unii Europejskiej lub prawo państwa członkowskiego. 12      Zobacz wyrok z dnia 10 lipca 2018 r., Jehovan todistajat (C‑25/17, EU:C:2018:551, pkt 68). Wyrok ten dotyczył wykładni pojęcia „administratora” na gruncie art. 2 lit. d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31). Chociaż dyrektywa ta już nie obowiązuje i została zastąpiona przez RODO, to wykładnia dokonana przez Trybunał w odniesieniu do tego przepisu ma znaczenie w kontekście stosowania RODO, ponieważ definicja tego pojęcia jest identyczna w obu instrumentach, z wyjątkiem niewielkich zmian formalnych. Wobec tego będę odnosić się do wyroków dotyczących tych dwóch instrumentów, nie rozróżniając ich. 13      Zobacz również w tym względzie „Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO”, wersja 2.1, przyjęte w dniu 7 lipca 2021 r. (zwane dalej „wytycznymi EROD 07/2020”), dostępne pod adresem: https://edpb.europa.eu/system/files/2021–07/eppb_guidelines_202007_controllerprocessor_final_en.pdf), s. 3, 21 i 25–27. 14      Zobacz wyrok z dnia 4 października 2024 r., Bezirkshauptmannschaft Landeck (Próba uzyskania wglądu do danych osobowych przechowywanych w telefonie komórkowym) (C‑548/21, EU:C:2024:830, pkt 41 i przytoczone tam orzecznictwo). 15      Zobacz wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, pkt 29). 16      Ibidem, pkt 30. 17      Wyróżnienie dodane. 18      Zobacz wyrok z dnia 11 kwietnia 2024 r., juris(C‑741/21, EU:C:2024:288, pkt 47–49). 19      Ibidem. Zobacz też w tym względzie wyroki z dnia 22 czerwca 2023 r., Pankki S (C‑579/21, EU:C:2023:501), z dnia 5 grudnia 2023 r., Deutsche Wohnen (C‑807/21, EU:C:2023:950) i z dnia 25 stycznia 2024 r., MediaMarktSaturn(C‑687/21, EU:C:2024:72), w których za „administratorów” uznano spółki, mimo że rozpatrywane „przetwarzanie” było dokonywane przez pracowników tych spółek. 20      Zobacz wyrok z dnia 5 grudnia 2023 r., Deutsche Wohnen (C‑807/21, EU:C:2023:950, pkt 44). 21      Zobacz pkt 18 i 19 tych wytycznych. 22      Zgadzam się z Komisją, że poprzez pytanie pierwsze sąd odsyłający zmierza jedynie do ustalenia, czy osobę taką jak TS można uznać za „administratora” w rozumieniu art. 4 pkt 7 RODO. Zatem, w razie gdyby Trybunał podzielił moje stanowisko, zgodnie z którym na to pytanie należy udzielić odpowiedzi przeczącej, nie uważam, aby konieczne było ustalenie, czy szkołę lub odpowiedni kraj związkowy należy uznać za „administratora” zamiast TS. 23      Zobacz podobnie wyrok z dnia 27 lutego 2025 r., Amt der Tiroler Landesregierung (C‑638/23, EU:C:2025:127, pkt 30–34). Zobacz też wyrok z dnia 11 stycznia 2024 r., État belge (Dane przetwarzane przez dziennik urzędowy) (C‑231/22, EU:C:2024:7, pkt 36). 24      Zobacz w tym względzie wyrok z dnia 7 marca 2024 r., IAB Europe (C‑604/22, EU:C:2024:214, pkt 56–59). Przykład sytuacji, w której podmiot (wspólnota religijna) oraz członkowie tego podmiotu zostali faktycznie uznani za współadministratorów zobacz w wyroku z dnia 10 lipca 2018 r., Jehovan todistajat (C‑25/17, EU:C:2018:551). 25      Zobacz tym względzie moją opinię w sprawie Lindenberg (C‑205/25, EU:C:2026:312, zwaną dalej „moją opinią w sprawie Lindenberg”), w której w pkt 49 stwierdzam, że art. 15 RODO może być stosowany wyłącznie wobec administratora. 26      Dotyczy to również pytania czwartego, które zostało zadane jedynie „[w] przypadku odpowiedzi twierdzącej na pytania pierwsze lub trzecie” (wyróżnienie dodane). 27      Zobacz w tym względzie wyroki z dnia 20 grudnia 2017 r., Nowak(C‑434/16, EU:C:2017:994, pkt 34), w przedmiocie pojęcia „danych osobowych” jak zostały one zdefiniowane w art. 2 lit. a) dyrektywy 95/46, i z dnia 2 grudnia 2025 r., Russmedia Digital i Inform Media Press (C‑492/23, EU:C:2025:935, pkt 49). Zobacz w tym kontekście również „Wytyczne 01/2022 dotyczące praw osób, których dane dotyczą – Prawo dostępu” EROD, wersja 2.1, przyjęte dnia 28 marca 2023 r. (zwane dalej „Wytycznymi EROD 01/2022”, dostępne pod adresem: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_en), pkt 96. 28      Zobacz wyrok z dnia 19 marca 2026 r., Brillen Rottler (C‑526/24, EU:C:2026:216, pkt 24 i przytoczone tam orzecznictwo). 29      Zobacz definicję terminu „źródło” zawartą w wersji internetowej Collins Dictionary, dostępną pod adresem: https://www.collinsdictionary.com/dictionary/english/source. Zgodnie z Cambridge Online English Dictionary termin „źródło” jest zazwyczaj rozumiany jako oznaczający miejsce, z którego coś pochodzi albo ktoś lub coś, co dostarcza informacji (https://dictionary.cambridge.org/dictionary/english/source). 30      Wyróżnienie dodane. 31      Zobacz wyrok z dnia 9 stycznia 2025 r., Österreichische Datenschutzbehörde (Nadmierne żądania) (C‑416/23, EU:C:2025:3, pkt 46). 32      Zobacz podobnie wyrok z dnia 22 czerwca 2023 r., Pankki S (C‑579/21, EU:C:2023:501, pkt 56–59 i przytoczone tam orzecznictwo). Zobacz też w tym zakresie motyw 63 RODO (pkt 6 powyżej). 33      Zobacz pkt 24 powyżej. 34      Zobacz analogicznie pkt 58 mojej opinii w sprawie Lindenberg, w którym wskazuję, że zakres prawa do uzyskania kopii na podstawie art. 15 ust. 3 RODO pozostaje ściśle ograniczony jego funkcją. 35      Zobacz podobnie wyrok z dnia 22 czerwca 2023 r., Pankki S (C‑579/21, EU:C:2023:501, pkt 69–75), w którym Trybunał zbadał, czy ujawnienie istotnych informacji może być konieczne do zapewnienia rzetelności i przejrzystości przetwarzania, umożliwiając tym samym osobie, której dane dotyczą, pełne korzystanie z praw wynikających z tego rozporządzenia. 36      Zobacz wytyczne EROD 01/2022, pkt 36. 37      RS podnosi bowiem, że w przypadku gdy informacje otrzymane podczas rozmowy z osobą trzecią są odtworzone w wiadomości elektronicznej dokładnie w takiej postaci, w jakiej zostały otrzymane (co jego zdaniem miało miejsce w postępowaniu przed sądem odsyłającym), samą osobę trzecią należy uznać za „źródło” danych osobowych zawartych w wiadomości elektronicznej. 38      Wyrok z dnia 20 grudnia 2017 r. (C‑434/16, EU:C:2017:994). 39      Zobacz motyw 63 RODO. 40      Zobacz też w tym względzie wyrok z dnia 22 czerwca 2023 r., Pankki S (C‑579/21, EU:C:2023:501, pkt 77). 41      Zobacz art. 11 Karty i art. 10 europejskiej konwencji o ochronie praw człowieka (zwanej dalej w skrócie „EKPC”). 42      Jako chronione na podstawie art. 7 Karty i art. 8 EKPC. 43      Zobacz art. 11 Karty i art. 10 EKPC. 44      Jako chronione na podstawie art. 7 Karty i art. 8 EKPC. 45      Niemniej jednak przyznaję, że w takiej sytuacji uzyskanie informacji dotyczących tożsamości źródła może umożliwić osobie, której dane dotyczą, zapobieżenie dalszemu przekazywaniu jej danych osobowych między różnymi administratorami (czyli zapobieżenie dalszemu „przetwarzaniu”) (zobacz pkt 58 powyżej). Jednakże moim zdaniem samo to stwierdzenie nie wystarcza, aby uzasadnić ujawnienie tożsamości źródła (osoby trzeciej) osobie, której dane dotyczą. 46      W tym zakresie należy przypomnieć, że w ramach ustanowionej w art. 267 TFUE procedury współpracy między sądami krajowymi a Trybunałem do tego ostatniego należy udzielenie sądowi krajowemu użytecznej odpowiedzi, która umożliwi mu rozstrzygnięcie zawisłego przed nim sporu. Mając to na uwadze, do Trybunału należy, w stosownym przypadku, przeformułowanie skierowanych do niego pytań i uwzględnienie przepisów prawa Unii, na które sąd krajowy nie powołał się w swoim pytaniu (zobacz wyrok z dnia 30 kwietnia 2026 r., Lidl Italia (Nieuczciwe praktyki handlowe dotyczące produktów spożywczych), C‑301/25, EU:C:2026:357, pkt 25). 47      Osoba, której dane dotyczą, ma prawo otrzymać od administratora informacje wymienione w art. 15 ust. 1 lit. a)-h) RODO tylko wtedy, gdy dotyczące jej dane osobowe są przetwarzane. 48      Zgodnie z art. 15 ust. 1 RODO osoba, której dane dotyczą, jest również „uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące” (wyróżnienie dodane). 49      Wyróżnienie dodane. Zobacz też art. 82 ust. 4 RODO i motyw 146 tego rozporządzenia, który odnosi się do „szkody, którą dana osoba poniosła wskutek przetwarzania”. 50      Zobacz też w tym względzie opinię rzecznika generalnego M. Szpunara w sprawie Brillen Rottler (C‑526/24, EU:C:2025:723, zwaną dalej „opinią w sprawie Brillen Rottler”, pkt 69–71). 51      Zobacz w tym względzie notę prezydencji Rady nr 9565/15 z dnia 11 czerwca 2015 r. „Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych)”, dostępny pod adresem: https://data.consilium.europa.eu/doc/document/ST9565–2015-INIT/en/pdf (s. 185). 52      Zobacz wyrok z dnia 4 października 2024 r., Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, pkt 159). Zobacz także w tym względzie opinię w sprawie Brillen Rottler, w której rzecznik generalny wyjaśnia w pkt 70, że art. 82 ust. 2 RODO ustanowił odpowiedzialność podmiotu przetwarzającego, która nie została wymieniona w art. 23 dyrektywy 95/46. 53      Wyróżnienie dodane. 54      Punkt 73. 55      Zobacz wyrok z dnia 19 marca 2026 r., Brillen Rottler (C‑526/24, EU:C:2026:216, zwany dalej „wyrokiem w sprawie Brillen Rottler”). 56      Zobacz pkt 48. W pkt 59 tego wyroku Trybunał przypomniał również swoje utrwalone orzecznictwo, zgodnie z którym aby mogło powstać prawo do odszkodowania, należy ustalić związek przyczynowy między poniesioną szkodą a szeroko rozumianym naruszeniem RODO. Według mojej wiedzy bardziej restrykcyjny wymóg związku przyczynowego między tą szkodą a „przetwarzaniem niezgodnym z prawem” (a nie „naruszeniem RODO”) pojawia się tylko w wyroku z dnia 4 października 2024 r., Agentsia po vpisvaniyata (C‑200/23, EU:C:2024:827, pkt 159). Pojawia się on również pkt 36 wyroku z dnia 4 maja 2023 r., Österreichische Post (Szkoda niemajątkowa związana z przetwarzaniem danych osobowych) (C‑300/21, EU:C:2023:370); jednakże pkt 32 odnosi się bardziej ogólnie do „naruszenia RODO”. 57      Punkt 49. 58      Punkt 53. 59      Rozdział ten obejmuje, oprócz różnych praw do informacji przewidzianych w art. 12–15, prawo do sprostowania danych osobowych (art. 16), prawo do usunięcia takich danych (art. 17), prawo do ograniczenia przetwarzania danych osobowych (art. 18) oraz prawo do przenoszenia danych (art. 20). 60      Zobacz podobnie wyrok w sprawie Brillen Rottler, pkt 53. 61      Rozdział III RODO zawiera również prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych „w dowolnym momencie” (art. 21 RODO). W przeciwieństwie do innych praw wymienionych w tym rozdziale wydaje się, że prawo to powinno być wykonywane, gdy dane te są przetwarzane, ponieważ co do zasady powoduje ono powstanie obowiązku administratora zaprzestania przetwarzania danych osobowych. 62      To samo dotyczy innych obowiązków nałożonych na administratorów w rozdziale III RODO, takich jak obowiązki przewidziane w art. 26 i 30 tego rozporządzenia, których naruszenie nie stanowi „niezgodnego z prawem przetwarzania” (zobacz w tym względzie wyrok w sprawie Brillen Rottler, pkt 52 i przytoczone tam orzecznictwo). 63      Zobacz w tym względzie § 9 ust. 5 ustawy o odpowiedzialności publicznej, którego treść przytoczyłem w pkt 11 powyżej. 64      Zobacz w tym względzie G. Kucsko-Stadlmayer, Artykuł 23 BV-G', w: K. Korinek, M. Holoubek M. i in. (Hrsg), Bundesverfassungsrecht, Rz 5, 2013. Konstytucyjną podstawą § 1 ustawy o odpowiedzialności publicznej jest § 23 Bundes-Verfassungsgesetz (B-VG, federalnej ustawy konstytucyjnej). 65      Zobacz w tym względzie wyroki z dnia 4 października 2024 r., Patērētāju tiesību aizsardzības centrs (C‑507/23, EU:C:2024:854, pkt 34 i przytoczone tam orzecznictwo) i z dnia 4 września 2025 r., Quirin Privatbank (C‑655/23, EU:C:2025:655, pkt 78 i przytoczone tam orzecznictwo). 66      Zobacz też w tym względzie motyw 146 RODO, zgodnie z którym „[o]soby, których dane dotyczą, powinny uzyskać pełne i skuteczne odszkodowanie za poniesione szkody”. 67      Zobacz w tym względzie wyroki z dnia 11 kwietnia 2024 r., juris (C‑741/21, EU:C:2024:288, pkt 56) i z dnia 20 czerwca 2024 r., PS (Nieprawidłowy adres) (C‑590/22, EU:C:2024:536, pkt 38). 68      Zobacz w tym względzie wyroki z dnia 20 czerwca 2024 r., Scalable Capital (C‑182/22 i C‑189/22, EU:C:2024:531, pkt 2, 23 i przytoczone tam orzecznictwo), z dnia 20 czerwca 2024 r., PS (Nieprawidłowy adres) (C‑590/22, EU:C:2024:536, pkt 41) i z dnia 4 września 2025 r., Quirin Privatbank (C‑655/23, EU:C:2025:655, pkt 70 i przytoczone tam orzecznictwo). 69      W tym względzie pragnę zauważyć, że przeniesienie odpowiedzialności wynikające z § 1 ustawy o odpowiedzialności publicznej niekoniecznie prowadzi do całkowitego wyłączenia odpowiedzialności danego „podmiotu wykonawczego”. Zgodnie bowiem z art. 23 ust. 2 federalnej ustawy konstytucyjnej i § 3 ustawy o odpowiedzialności publicznej osoba prawna prawa publicznego, która zrekompensowała osobie, której dane dotyczą, szkodę wyrządzoną przez jeden z jej „podmiotów wykonawczych”, może wnieść skargę o odszkodowanie od osoby działającej jako jej „podmiot wykonawczy”, jeżeli działał on umyślnie lub dopuścił się rażącego niedbalstwa.

© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 12.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło